Net – Page 20 – ☠ Bluetouff's blog

21 février 201022 février 2010

FAIL : Numericable et l’activation de votre routeur

Ca faisait longtemps que je ne vous avais pas causé de Numericable, normal, j’avais résilié mon abonnement avec pertes et fracas après 4 visites de techniciens plusieurs douzaines d’appels à la Hotline … pour un problème qui affectait tout mon quartier. J’avais avantageusement opté pour une connexion de secours Nerim à la place de Numericable dont le conseiller commercial m’avait entre autres âneries, assuré que je bénéficierai d’une ip fixe (ce qui était un splendide mensonge, Numericable ne proposant pas d’IP fixe, du moins ne le proposait pas à l’époque, mais j’ai eu vent d’une offre pro sur laquelle il faut que je me penche, cependant l’offre « pro », après ce que je viens de voir …). A noter aussi que si vous avez un problème d’ordre technique, les « techniciens » qui vous visitent sont des sous-traitants qui n’ont aucun pouvoir pour remonter des problèmes sérieux (c’est à dire d’autres problèmes qu’une prise à votre domicile qui partirait en sucette ou un splitter fumé). Si vous avez un soucis, sorti de votre appartement,compétents ou pas … il ne peuvent pas faire grand chose et c’est là que les véritables ennuis commencent avec Numericable.

Bref je vous passe les détails sur les compétences du support de Numericable ou de sa pseudo communauté.

Ayant récemment aménagé dans une zone où ma ligne téléphonique est merdique, je me suis résigné à me réabonner chez Numericable. Voici un bref retour :

Commençons par le(s) point(s) positif(s) :

le débit est pas dégueux.

Voyons maintenant en quoi Numericable est toujours un FAI fidèle à sa réputation :

Niveau matos : Ne vous attendez pas à recevoir un modem routeur de qualité, le Netgear de la photo n’est pas contractuel, vous recevrez donc une belle bouze chinoise, cout de revient entre 7 et 12 euros, tout en plastique, l’antenne wifi est ridicule, non détachable et il n’implémente évidemment pas le N.
Le plus scandaleux : wifi activé par défaut en WEP !! Avec le délit de négligence caractérisée d’HADOPI qui pend au nez des abonnés, fournir un matériel qui propose un chiffrement cassable en quelques minutes activé par défaut est inacceptable. Si vous ne comprenez rien au wifi et que vous n’avez pas touché aux réglage de votre routeur, si HADOPI vous coupe votre connexion, un bon conseil, retournez vous contre Numericable, il est évident que cet opérateur fait bien peu de cas de la sécurité de votre connexion et ne vous fournit d’ailleurs même pas d’information claire à ce sujet.
Le plus malhonnête : Numericable, comme d’autres FAI, vous propose un « pack sécurité » à 5 euros par mois … autant vous le dire tout de suite, avec le wifi activé par défaut en wep, le pack sécurité à 5 euros par mois qui vous promet la sécurité absolue est une arnaque sans nom : il faudra à un petit malin 3 minutes pour casser la clef wep de votre réseau, et 30 secondes pour récupérer vos passords à coup de DSNIFF ou de Wireshark.
Et maintenant le plus risible : dans le fascicule que vous recevez, avec votre modem, on vous dit d’aller activer votre routeur, vu que ma connexion fonctionnait, j’ai de suite compris que celà ne servait à rien, mais j’ai tout de même tenté la procédure, comme ça juste pour rire … et je ne le regrette pas : non seulement ça plante, mais surtout, le serveur étant en mode débug, on une sortie super bavarde.

Bravo les gars !

10 février 201011 février 2010

LOPPSI et filtrage du Net : il faut sauver le soldat Freyssinet

Peut-être avez-vous remarqué, quelque part sur le net, genre ici ou là… une certaine polémique opposant Fabrice Epelboin, éditeur de ReadWriteWeb France et Eric Freyssinet. Fabrice Epelboin a récemment publié une étude ahurissante sur le business de la pédo-pornographie. Le document est bien renseigné et s’appuie sur un travail de fonds effectué auprès des services de police en charge de la cybercriminalité dans plusieurs pays, et entre autres, sur le témoignage d’un directeur technique de réseau pédophile dont la version originale a été publiée sur wikileaks (le document est assez insoutenable tant les positions de ce type sont abjectes).

Rendre à Cesar machin tout ça …

Eric Freyssinet est connu pour être un gendarme émérite, très versé dans les nouvelles technologies et la sécurité informatique, il en a fait au sein de son corps d’armée sa spécialité. En dehors des affinités que je peux avoir avec lui sur certains points concernant le domaine de la sécurité, il ne faut pas perdre de vue qu’il est avant tout un gendarme, avec un devoir de réserve, qui ne lui est pas opposable. Dans cette optique, il convient de dissocier les écrits publics de son blog de ses convictions profondes. Car oui, au risque de passer pour le naïf de service, je suis convaincu, à le lire, qu’il a les fesses entre deux chaises. Je comprends donc plus facilement les positions de monsieur Freyssinet sur le blocage que NKM qui nous explique qu’elle soutient le filtrage parce que ce n’est pas une perquisition… Aussi, je trouve remarquable qu’un gendarme tienne un blog en y autorisant les commentaires, même si certaines réponses sont convenues, on ne lui reprochera pas.

Alors tu bloques ou tu filtres ?

Il y a déjà cette histoire de sur-blocage des sites qu’il ne peut ignorer, il y a ensuite sa parfaite connaissance de la criminalité numérique et des techniques utilisées (comme ces botnets qui arrosent de spam des millions d’adresses email pour générer du trafic sur des sites pédophiles ou des liens cachés dans des vidéos). Notez que je parle bien ici de blocage de ces sites, et non de filtrage … il s’agit bien de deux actions différentes qui emploient des techniques différentes, mais là n’est pas le débat. Même si comme le fait remarquer Benjamin, un blocage sélectif entend qu’un petit lutin attrape le paquet, jette un coup d’oeil dedans et décide ou non d’aller le livrer au prochain routeur … ou pas … et ça, c’est du filtrage. Notons au passage que notre petit lutin jouit d’une commission rogatoire permanente … comme un douanier … trop fort ce lutin.

Bad santa host

Concentrons nous dans un premier temps sur les diffuseurs de contenus illégaux. Eric Freyssinet fait le choix de présenter le problème sous l’angle des « hébergeur illégaux » pour signifier que le blocage de ces sites n’aura pour effet que de bloquer d’autres sites de vente de médicaments ou autres produits illégaux, c’est bien tenté … mais en pratique l’argument ne tient pas… ce pour une raison toute conne, qu’Eric Freyssinet ne peut ignorer. Quand on balance 10 millions de spams qui pointent sur un seul et même site, il est assez rare que ce site soit hébergé sur un serveur mutualisé qui partagerait la même IP avec d’autres sites qui emploieraient les mêmes méthodes… avec un taux de clic de 1% (hypothèse ultra basse ne reflétant à mon sens pas la réalité), on arrive quand même à la bagatelle de 100 000 visiteurs, sur un site sensé contenir des médias lourds (photos et vidéos) … Et même quand on est un virtuose de Squid ou de Memcached, cela implique qu’on administre son serveur comme un grand, avec un shell et non un Cpanel ou un Plesk.

Qui surveille qui ?

Passons maintenant au coeur du sujet, peut être avez vous noté que je n’ai pas relayé l’idée que le blocage de sites pédo-pornographiques profiterait aux réseaux pédophiles. Non pas que je sois gendarme et que je tombe moi aussi sous le coup d’un devoir de réserve, mais je n’ai simplement pas de visibilité pour l’affirmer. En outre, je connais un peu le fonctionnement de certains réseaux undergrounds et je sais que des techniques utilisées pour la diffusion de contenus pédo-pornographiques le sont également pour des vers et des bombes logiques destinés à mener des attaques ciblées et de grande ampleur, j’ai même eu l’occasion d’en observer un après analyse d’une machine zombifiée qui crachait du .bin en faisant pleurer tous les SMTP de France et de Navarre. Usuellement vous me direz que les supputations ne me gênent pas … et c’est vrai je suppute beaucoup, et en parlant de supputations, je suppute haut et fort que mettre à disposition des outils de blocage, qui entraineront inéluctablement la mise en place de solutions hybrides à coup de DPI donnera des idées au pouvoir en place, avec ou sans Nicolas Sarkozy à sa tête. Et pour le coup, quand Eric Freyssinet fait remarquer à l’un des protagonistes du troll … fil de discussion, qu’il confond le dispositif envisagé par la France au filtrage politique à la Thaïlandaise … je me demande lequel de nous deux est le plus naïf… comme quoi, on est tous plus ou moins des bisounours hémiplégiques.

Faisons un peu de Low Psy (et ouai c’est un terme copyleft que je viens tout juste d’inventer et qui désigne de la psychologie de comptoir) : parlons un peu de l’approche d’Eric Freyssinet sur le travail de Fabrice. On sent bien qu’il est piqué au vif, et en humain, il réagit, avec toute la mesure liée à sa fonction. C’est normal… même si à mon sens monsieur Freyssinet prend pour lui des reproches qui ne lui sont pas adressés … en clair messieurs, vous êtes tout à fait d’accord, c’est juste que vous ne parlez pas de la même chose. C’est d’autant plus évident que quand Fabrice stigmatise un manque de moyens des services, et que 2500 suppressions de postes de gendarmes sont planifiées dans les mois à venir, il apparait naturel de demander des comptes aux politiques, non aux gendarmes… chose que Fabrice fait parfaitement, jamais je ne l’ai vu ni entendu critiquer négativement le travail de la gendarmerie sur ces questions, bien au contraire. Oui il s’agit bien d’un problème politique clairement identifié et monté sur talonnettes. Aussi bien Fabrice, Jérémie, Jean-Michel, Benjamin, moi ou des milliers d’autres, nous avons un débat militant et nous gardons parfaitement à l’esprit que le pouvoir judiciaire, en France, est dissocié du pouvoir législatif… mais chaque cause à ses conséquences. Ce débat militant n’est que la conséquence de multiples dénis démocratiques sur les questions d’Internet du pouvoir politique en place (vous verriez la tronche d’un américain, d’un allemand ou d’un slovaque quand on lui explique que c’est le ministère de la culture qui a travaillé sur HADOPI et que le secrétariat d’Etat à l’économie Numérique a tout juste le droit de se la fermer docilement …),

Y’a pas que le fric dans la vie … et là, y’a des enfants

Concernant les 3 milliards de chiffre d’affaire supposé de la pédo-pornographie, je ne rentrerai pas dans la querelle des chiffres, l’économie de l’abjecte ne m’intéresse pas plus que ça, sinon ça fait un bail que je serais millionnaire. En revanche, j’ai un dentier complet contre le législateur qui n’est pas fichu d’appliquer des mesures de rétortion ciblées et qui par défaut les applique à l’ensemble de la population … j’appelle ça prendre les gens pour des cons, les dé-responsabiliser et j’affirme que miser sur un dispositif technologique qui bloque du virtuel n’empêchera pas ces drames qui ne se passent pas dans le LCD de madame Michu, mais au sein de la cellule familiale dans la majorité des cas. Evidemment, il est bien moins spectaculaire d’un point de vue populo-electroraliste de mener des actions ciblées, fruit d’un travail judiciaire en amont, que d’employer la méthode DILM (Do It Like Myard), avec des « supers gros ordinateurs … puisque la Chine l’a bien fait ». Quand Eric Besson lance son portail sur l’Identité Nationale et qu’il se retrouve obligé de sous-traiter la modération de la plate-forme à 3 gus dans un garage de Madagascar, allez savoir pourquoi, je me dis que ce gouvernement est capable de faire la même chose avec son nouveau jouet à filtrer ou de penser que ce seront les FAI qui remplaceront les effectifs dont il se sera débarrassé.

Je refuse que l’on me prenne pour un con au point de tenter de me faire gober que filtrer Internet va faire diminuer le nombre d’enfants abusés sexuellement dans le monde
Je ne comprends pas qu’on investisse dans ce genre de dispositif qui met en péril la démocratie, qui met en péril Internet et dont l’efficacité est si douteuse que l’Allemagne a abandonné un projet identique.

sudo ./usr/bin/laden

Eric Freyssinet comprend parfaitement qu’un citoyen n’aime pas être pris pour un terroriste. En ce qui me concerne, j’ai du sang corse, libyen, tchadien et basque … et en plus je suis un internaute. En toute logique, je suis un terroriste, c’est inscrit dans mon patrimoine génétique autant que sur mon disque dur… oui, ce raisonnement est très bête … et pourtant, il est tenu par les mêmes personnes qui entendent lutter contre la pornographie infantile en filtrant des sites web. Ils pourraient tout aussi bien manger des bananes pour militer contre les tests de rouge à lèvre sur les anus de chimpanzés … l’effet serait exactement le même. Si le filtrage et les écoutes empêchaient les actes de terrorisme, avec Echelon, on aurait pas des barbus qui tentent de faire péter leurs godasses dans des 747.

En conclusion, Monsieur Freyssinet, si vous nous reprochez de stigmatiser un travail parlementaire ni fait ni à faire qui impacte votre profession et donc, notre sécurité, il va falloir nous apporter des arguments sérieux … du genre « oui les machines sont plus efficaces que les gendarmes, et si on leur met des roulettes et un tazer à la place du lecteur DVD elles sont capables de faire le même travail« … sinon c’est que nous sommes tous parfaitement d’accord sur fond et que nous avons encore beaucoup à faire sur la forme. Quoi qu’il en soit, ce flame entre Fabrice et vous n’a pas lieu d’être. Vos désaccords portent, en définitive, sur peu de questions de fond, et les interrogations de Benjamin sont là pour nous rappeler que si elles n’ont pas de réponse, c’est peut-être qu’elles méritent une réflexion plus poussée que la fausse solution du filtrage qui sera l’extension naturelle du blocage.

Souvenez vous du capitaine Guézou et de son expérience des écoutes Elyséennes … demandez vous ce qu’il penserait aujourd’hui de mettre ce genre d’outil entre les mains du pouvoir politique, les dérives sont inéluctables et ce sont ces dérives qui ont mené à son « suicide ».

PS : A tous, merci pour ce thread de commentaires suite aux billet d’Eric Freyssinet et de Fabrice, vos réactions bien que vives et passionnées étaient sur le fonds bien plus intéressantes que les affligeants bons mots de nos députés.

9 février 20109 février 2010

LOPPSI : début des débats à l’Assemblée Nationale … et premiers accrocs

Cette fois nous y sommes, Brice Hortefeux est en train d’ouvrir le bal en défendant les résultats de sa politique globale de sécurité et les « bons chiffres » qu’il a obtenu relatifs à la baisse de la délinquance. Premier incident, les blogeurs du célèbre site d’information le Post se sont vus refusér l’accès presse. Petite précision, les blogeurs en question sont Tanguy et Benjamin, à l’origine du site nosdeputes.fr, observatoire citoyen de l’activité parlementaire et qui terrorise plus d’un député, plus habitués à une démocratie à huit-clos. Ce petit incident est particulièrement révélateur de la psychose parlementaire autour de l’intérêt suscité par les lois qui touchent au Net depuis HADOPI. Les politiques ont peur d’Internet, comme les hommes ont toujours eu peur de ce qu’ils ne comprennent pas. Il est donc naturel, quelque part, que ces derniers n’aiment pas les blogeurs… attention, ça va finir par devenir réciproque si vous ne faites pas un petit effort mesdames et messieurs les parlementaires.

On passe à l’exposé des dispositions relatives aux NTIC

En 2009 plateforme de signalement de contenus illicites de l’Etat a recensé 10 900 signalements de sites a caractère pédo-pornographiques : « des sites gérés par des trafiquants de l’Internet » selon Brice Hortefeux. Le ministre ne s’acquitera que d’un tout petit mot sur le renforcement de la coopération internationale.
L’usurpation d’identité
L’Etat veut taper au portefeuille des trafiquants
Autorité administrative pourra procéder sans délais à la vente des biens des délinquants saisis
Logiciels de rapprochement judiciaires « utiliser des moyens techniques existants » pour effectuer des recoupements (et mon cul c’est du poulet ?… il va falloir qu’on m’explique à quoi va bien pouvoir servir Périclès, cet agent sensé aller récupérer des données nominatives sur les réseaux sociaux pour alimenter on ne sait trop quelle base de données)

Brice Hortefeux insiste à plusieurs reprises sur le fait que ces dispositifs ne donneront pas lieu à la création de nouvelles bases de données … allez, chiche ?

C’est maintenant au tour d’Eric Ciotti, rapporteur du projet de loi de parler, et ça commence très fort

LOPPSI 3 est annoncée par Eric Ciotti !

Une petite référence faite par le rapporteur à ceci … magistrat et avocats dénonçant un projet de loi LIBERTICIDE.

Objectif grâce au NTIC le gouvernement vise le taux de résolution des affaires à 50%
Glorification de la vidéoprotection, le nouveau nom politiquement correct de la vidéosurveillance ou autrement dit du flicage en HD
L’organisation des forces de l’ordre
Recours à la visioconférence pour les audiences (vous allez voir que dans LOPPSI 3, pour régler le problème d’engorgement des prisons, le gouvernement misera sur la virtualisation…)

27 janvier 201028 janvier 2010

Ministère de la Culture : des p’tits trous, des p’tits trous toujours des p’tits trous

J’attends toujours avec une grande impatience les décrets d’application d’HADOPI. Celui que j’attends le plus, c’est évidemment celui qui désignera le délit de négligence caractérisée, cette hérésie que j’ai tenté de vous expliquer modestement dans ce petit livre blanc sur la sécurisation des connexions wifi.

Le Ministère de la Culture, qui est à l’origine de ce fantasme qui voudrait que Madame Michu devienne admin système, est comme tout le monde le sait, irréprochable … la négligence caractérisée, c’est pas leur truc … leur truc à eux c’est plutôt ça :

… et ça

24 janvier 201025 janvier 2010

Hackable:1 et OpenMoko : souplesse, liberté et convivialité

Après les bidouilles matinales sur mon téléphone de commercial. et comme j’étais parti pour geeker sur du matériel après une journée et et une nuit d’intégration KSS/CSS et ZPT, je me suis penché sur le Freerunner que j’avais plantouillé il y a quelques semaines. Pour le reflasher, point de pirouettes et de bidouilles de baseband, celui là il est hackable … B.I.D.O.U.I.L.L.A.B.I.L.I.T.É !

La souplesse

On commence par se rendre sur le site d’Hackable:1 et on récupère l’image à flasher. Cette Rev5 porte le doux nom de Chuck puisque peu de choses lui sont impossibles. L’auteur du splash screen c’est bibi 😉
On appuie simultanément sur les boutons power et aux pour arriver au boot menu, avec aux on sélectionne Set console to USB, et hop on lance le flash , il existe sur mac un outil graphique et libre qui vous évitera les galères d’interfaces réseau avec cet os quand on flashouille avec la méthode Linux sur un Mac…

ce qui nous amène tout droit direct à la … détente.

La détente

Hackable:1 est une distribution embarquée basée sur Debian GNU/Linux, du coup c’est assez royal niveau packages et ça permet de faire des choses intéressantes tout de suite… sans avoir à cracker quoi que ce soit, tout en finesse, on se concentre uniquement sur les objectifs et plus trop la manière d’y arriver… ça coule de source. Hackable:1 utilise Gnome Mobile et propose un environnement relativement bien utilisable.

Et la convivialité

Bon ok, ça reste pour les développeurs, c’est assez expérimental, le device lui même n’est plus tout récent et manque cruellement d’un chip 3G, mais le Freerunner n’en reste pas moins une plate-forme de développement idéale et Hackable:1 est destinée à être utilisée sur d’autres matériels embarqués … portabilité …;

Cette semaine à la Cantine, c’est la semaine anniversaire et il va se passer des choses. En cette occasion, Deubeuliou, release manager d’Hackable:1 y donne rendez-vous pour un HOUM : Hackable:1 et Openmoko User Meeting le vendredi 29 Janvier, de 19h à 22h .

19 janvier 20101 avril 2010

Filtrage du Net : petit Sarkozy peut-il devenir un grand Berlusconi ?

Les bras m’en tombent, l’Italie vient de voter la loi la plus débile de l’histoire de l’Internet européen (encore un domaine ou la France n’arrive pas à innover, et c’est pas faute d’essayer). Un décret impose à compter du 27 janvier 2010 une autorisation du ministère italien des communications pour pouvoir publier des vidéos sur le Net ! C’est l’une des plus fantastiques entraves à la Neutralité du Net qu’il nous est donnée de voir pour le moment près de chez nous… c’est vraiment tout près là, à tel point que ça risque de donner des idées à certains… d’ailleurs Copé l’a bien annoncé : « Il faudra qu’un jour ou l’autre on assume un débat public sur internet et la liberté ». « Cet immense espace qu’est internet, dans lequel on peut finalement diffuser n’importe quelle image, la tronquer dans tous les sens… » dormez tranquilles internautes français, les politiques s’occupent de tout, c’est pour vous protéger on vous dit.

DADVSI, HADOPI, LOPPSI … faut dire que ça sonne bien rital tout ça !

J’ai une bonne et une mauvaise nouvelle :

La bonne : la France n’a pas le monopole de la cyber connerie.
La mauvaise : on pourrait très bien être les prochains.

Explication dans le texte :

Attention vous allez voir ça commence à se préciser, le gouvernement italien appuie son décret sur la directive européenne 2007/65/CE qui pourrait bien donner des idées par chez nous. Pour parfaire le tableau, rappelons que Silvio Berlusconi est le propriétaire du plus grand groupe média italien, Mediaset, et qu’il réussit là un coup double : museler l’opposition sur autorisation mnistérielle et se débarasser de la concurrence « déloyale » que représente Internet. Permettez moi d’y voir un lien assez inquiétant avec cette déclaration de Nicolas Sarkozy “ Le problème d’Internet est considérable parce que comment voulez-vous que les gens achètent leur journal en kiosque s’il est gratuit sur Internet ? ” … pourquoi ne pas interdire les blogs pour sauver la presse après tout ?

Et maintenant la très bonne nouvelle :

Avec HADOPI 1, le gouvernement français a pris une énorme claque sur le coin du nez avec la décision du Conseil Constitutionnel qui consacre Internet comme un outil indispensable à l’exercice d’un droit fondamental : la liberté d’expression. Oh ceci n’arrêtera pas Nicolas Sarkozy dans son oeuvre de filtrage et trouvera surement quelques subterfuges pour passer outre l’avis du Conseil des Sages avec une ou deux pirouettes (comme les ordonnances pénales) ou en nous trouvant un lien de filiation entre Ossama Bin Laden et Google… mais ce sera beaucoup plus compliqué qu’en Italie !

Mais n’oublions pas :

« Quand ils sont venus chercher les communistes,
Je n’ai rien dit,
Je n’étais pas communiste.
Quand ils sont venus chercher les syndicalistes,
Je n’ai rien dit,
Je n’étais pas syndicaliste.
Quand ils sont venus chercher les juifs,
Je n’ai pas protesté,
Je n’étais pas juif.
Quand ils sont venus chercher les catholiques,
Je n’ai pas protesté,
Je n’étais pas catholique.
Puis ils sont venus me chercher
Et il ne restait personne pour protester. »

Martin Niemöller

14 janvier 201015 janvier 2010

Filtrage : ne nous faisons pas plus cons que les e-gnares

Depuis quelques jours, le filtrage par DPI (Deep Paquet Inspection) est très en vogue dans les blogs de France et de Navarre. Il convient cependant d’en causer avec des pincettes pour plusieurs raisons.

Premier point : on y est pas encore ! Si Nicolas Sarkozy appelle « sans délai » à des expérimentations de filtrage, peut être n’est-ce après tout que pour parfaire sa culture personnelle sur un sujet qu’il maîtrise comme nous le savons tous parfaitement.

Second point : on ne parle pas de filtrer le marc de café, mais des communications électroniques. Contrairement à ce qu’à pu nous raconter le député Myard dans ses errements aux relents totalitaires, il ne suffit pas d’avoir de « très gros ordinateurs ». S’il suffisait d’avoir de très gros ordinateurs … les barbus n’essaieraient pas de faire péter leurs godasses dans les avions.

Troisième point : filtrer, c’est bien mais on filtre quoi ? Là, croyez moi, on va rigoler. J’étais hier à la présentation de Tweest, celle où NKM, pressée par les questions sur lesquelles tout le Net attend des réponses depuis un an, a finalement lâché le morceau. Elle s’est déclarée en faveur du filtrage des sites pédo-pornographiques, et UNIQUEMENT de ces sites, suite dénonciation sur le portail gouvernemental dédié à cet effet … Ce côté « bisounours hémiplégique » qui hémiplégie de l’autre hémisphère que Benjamin Bayart a quelque chose de sympathique, de naif et de touchant. Attention séquence émotion, voici le workflow d’un filtrage pour NKM.

Mr Dupont reçoit un email lui indiquant qu’il a gagné 100 millions de dollars à la loterie Microsoft, il n’a jamais joué à ça, d’ailleurs il ne savait pas que Microsoft donnait dans le PMU … mais c’est pas grave … il clique … et là c’est le drame.
Il s’empresse d’aller signaler, comme 15 000 personnes l’ont fait cette année, ce site web aux autorités compétentes, via le site web dédié.
Loic Le Meur est alerté, et paff il passe un coup de fil à Google
.. clap clap finit les pédo nazis, Mr Dupont est un héro.

… je ne vais pas vous en dire plus pour le moment, mais croyez moi, on va en reparler dans peu de temps …

Écartons nous un instant des considérations techniques et revenons à ce qui est dit, maintenant, par notre président qui appelle au filtrage « sans délai ». Dans ses vœux au ministère de la Culture, après une chouette opération d’enfumage avec sa taxe Google, Nicolas Sarkozy a quand même réussit l’exploit de rentrer en contradiction avec NKM pourtant docile sur la question … Nicolas lui les pédophiles c’est une chose, mais il faut aussi filtrer les sites qui permettent l’échange de fichier … les contenus « pirates »… et là du coup je m’interroge …

Qu’est ce qu’un site qui permet l’échange de fichiers ? … réponse conne à la question con … tous.
Le workflow reposant sur la dénonciation s’appliquera t-il aussi à ces sites ?
Quel est le rôle du juge ? On se fait un p’tit coup d’ordonnance pénales histoire de ne pas laisser moisir le corpus législatif d’HADOPI ?
Est ce que les blogs de politiques qui violent la GPL et les Creative Commons en virant la mention du footer des auteurs sur les thèmes graphiques qu’ils utilisent seront eux aussi filtrés sur simple dénonciation ? (croyez moi y’en a un paquet).

… Ben ouai, le « sans délai » c’est bien mais faut pas oublier son neurone en route.

Rappelons nous enfin que ces vociférations du président ne sont pas sans rapport avec la démagogie ambiante qui précède chaque élection, là encore, nous sommes face à un phénomène d’une affligeante banalité… faut bien rentrer dans le lard de quelque chose quand on a rien à dire, et pour ça, les pirates, c’est un bon client … pour les présidentielles, vous allez voir qu’on en reviendra à nos bons vieux hackers chinois, une valeur sûre !

Ensuite … et seulement après s’être posé ces quelques questions, on peut décider (ou pas) de théoriser sur l’application éventuelle d’un filtrage qui portera la griffe de notre exception culturelle : il sera hybride, coûteux et inefficace.

« Dis papa c’est quoi le DPI ? »

– Ça fiston, c’est un truc super cool qui permet à papa de faire la traque aux virus pour protégéer les neuneux qui cliquent partout comme Monsieur Dupont. C’est un bidule uber puissant qui est capable de reconnaitre un choux d’une carotte dans un caddie de supermarché et de ne placer que les carottes dans le panier du lapin.

« Mais comment il fait le lapin s’il a envie de manger un choux ? »

– Ben il ne décide pas, et puis les choux c’est pas bon pour le lapin, ça lui donne des gaz.

« Et s’il veut manger un navet il fait comment ? »

– Là encore il ne décide pas, son docteur, le bienveillant Nicolas décide pour lui et papa applique l’ordonnance du docteur.

« C’est pas super sympa pour le lapin qui aime le chocolat … »

– Mais si c’est super sympa, parce qu’à chaque fois qu’il revient au supermarché, le lapin est maintenant automatiquement guidé au rayon des carottes, on peut lui envoyer des tickets de promotions sur tous les modèles de carottes qu’on a en supermarché, c’est ça le DPI, un outil qui permet de cibler les carottes qui conviendront le mieux au lapin et donc de faire en sorte qu’il passe le moins de temps à chercher dans les rayons du supermarché… c’est pour son bien !

« Et que se passe t-il si le lapin change de magasin ? »

– Ah … ben là le DPI de papa il marche plus, pour que ça marche il faut que le lapin vienne dans le même magasin, avec le même caddie, avec la même voiture, prenne la même route, qu’il aille tout le temps dans le même rayon et paye à la même caisse … sinon ça fout en l’air tous les supers algos de papa …

« Ben c’est nul ton truc si tu peux pas empêcher le lapin de changer de supermarché »

– c’est pour ça que papa a un autre jouet … il s’appelle BGP… avec ça papa il peut empêcher l’accès à tous les autres supermarchés. DPI n’est pas fait pour interdire au lapin d’aller chez les concurrents, par contre avec BGP je peux détruire l’autoroute qui mène à la ville voisine où se trouvent les autres supermarchés.

« Et ça coute cher tes jouets papa ? »

– oui très, et en plus ça marche pas toujours

« Ah bon ? »

– il arrive des fois que le lapin change de voiture, ou pire … qu’il change de route ! … et dans ce cas là, impossible de le reconnaitre, c’est pour ça que le mieux, ça reste quand même de détruire les routes et de faire un dôme au dessus de notre ville pour être sur que notre lapin n’aille pas à la concurrence.

« Mais comment ils font tout ceux qui ne sont pas lapins et qui mangent pas de carottes »

– Là tu fais chier avec tes questions !

14 janvier 20101 avril 2010

Google Chinagate : le Net bridé se débride

Vous n’avez certainement pas pu passer à côté de ce qui agite les relations Googlo chinoises ces deux derniers jours… le ton monte sérieusement. Factuellement, nous avons bien peu d’informations, juste assez pour comprendre la gravité de la situation et la bêtise sans borne de tout filtrage. Replaçons nous dans le contexte. La Chine n’a jamais crié sur tous les toits qu’elle accordait aux internautes la liberté d’expression sur le Net, et encore moins la liberté de s’informer de sources diverses et variées, on ne plaisante pas avec la subversion en Chine.

Fort de la connaissance des attentes de ce client particulier, Google ne pouvait cependant pas délaisser le plus grand marché en volume du monde. Etre présent en Chine était tout ce qu’il y a de plus normal pour le géant américain, quitte à laisser à la frontière ce qu’il défend ailleurs, la Neutralité du Net (vous savez ce truc « fourre tout » aux yeux de Nathalie Kosciusko-Morizet). Du coup, Google, se pliant aux volontés du gouvernement Chinois a filtré, pendant plusieurs années de nombreux sites étrangers ou locaux en rapport de prêt ou de loin avec les droits de l’Homme (ONG, opposants …).

Puis un jour, comme ça, sans raison apparente, le loup montre les crocs. Google dénonce une attaque d’une ampleur impressionnante et surtout, utilisant des techniques très sophistiquées … aussi sophistiquées que celles qu’emploirait un Etat qui pratique la cyber guerre offensive. Des comptes mails d’opposants politiques du gouvernement chinois auraient été la cible de ces attaques. Ce, peu après la condamnation du Dr Liu Xiaobo à 11 ans de prison pour « subversion ».

Y’a comme de l’eau dans le gaz …

Google.cn a décidé en réaction de lever tout filtrage, les internautes chinois, bien que filtrés par le firewall gouvernemental maison (une sorte de filtre parental anti subversion un peu sur le modèle de celui qu’on souhaite nous faire avaler en France), trouvent via Google réponse à leurs questions les plus « subversives ».

En réaction, le gouvernement chinois répond par ce qu’il sait faire le mieux … la censure.

Je sais pas vous mais moi, j’ai comme envie de demander des comptes au député Myard sur le modèle de société numérique qu’il défend.

Alors ça veut dire quoi une attaque « hautement sophistiquée » ?

Loin de moi l’idée de mettre en cause les conclusions de experts en sécurité que Google et les 32 autres sociétés étrangères qui ont été la cible de ces attaques, mais il convient cependant de comprendre de quoi on parle avant de se faire sa propre opinion.

Depuis fin décembre, une poignée d’importantes vulnérabilités ont été découvertes dans le format PDF de l’éditeur logiciel américain Adobe (qui comte lui aussi parmi les cibles de ces attaques). La vulnérabilité exploitée par les assaillants n’aurait été patchée par Adobe que mardi dernier… mais nous allons revenir là dessus un peu plus loin.

Le format d’Adobe aurait donc été exploité pour inoculer un cheval de Troie, et collecter d’impressionnantes quantités d’information de ces cibles, ce trojan nommé Trojan.Hydraq , stocké sous forme de dll sur les systèmes cibles ouvre un backdoor (une porte dérobée) et collecte tout ce qu’il peut sur la machine infectée. Jusque là rien que de l’hyper classique en somme… Sauf que la cible, à en croire ce qui s’est écrit ici ou là, c’était le code sources d’applications (dont certaines applications web de Google… comme Gmail), révélant ainsi des informations sensibles exploitables par les intrus en vue de récupérer des informations personnelles ciblées, celles de militants en faveurs de la protection des des droits de l’Homme.

Disclose or not disclose ?

Cette petite histoire nous démontre, une fois de plus, que la sécurité par l’obscurantisme et le manque de correctif immédiat à une vulnérabilité peut couter cher, très cher. Aussi je me permet de revenir sur l’interessant, car factuel, billet d’Eric Freyssinet relatif à la décision de la cour de Cassation qui réprime “le fait sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données”. Derrière cette décision, le full disclosure, ou le fait de dévoiler au public les mécanismes et le code en vue de l’exploitation d’une faille de sécurité est dans une certaine mesure directement visé. Tout est dans l’intention pourrait on retenir. Cependant, le responsible disclosure (dévoiler publiquement l’exploit après que la vulnérabilité ai été patchée), ça ne fonctionne pas toujours. Ainsi, il peut se passer plusieurs jours, semaines, mois ou années avant qu’une réponse ne soit apportée. C’est ce laps de temps qu’il convient de réduire un maximum, mais que beaucoup trop d’éditeurs logiciels (propriétaires ou libres), laissent filer… si la faille n’est pas publique, après tout … pourquoi se presser ? Le full disclosure, quoi qu’on en dise a une vertu, il agit comme un véritable coup de pied aux fesses et contraint à la réponse rapide, avant une éventuelle exploitation.

Attention, je ne dis pas que si le zero day exploit qui a été utilisé pour les attaques dont nous parlons ici avait été rendu public, ceci ne serait pas arrivé… Le format PDF suscitte l’attention de beaucoup d’experts en sécurité informatique depuis environ un an. Nombreux sont ceux qui s’accordaient à dire que ceci allait arriver, l’histoire leur a donné raison … faut dire qu’ils avaient de sérieux arguments (null, mais sérieux … humour de geek … désolé) et les yeux se portaient alors sur JBIG2…. Bravo Cédric, une fois de plus, tu ne t’étais pas planté. Les tâtonnements des uns et des autres ont finalement permis à des personnes pas super bien intentionnées d’aboutir à ce zero day exploit qui aurait été utilisé pour attaquer Google et une trentaines de sociétés poids lourds du Net.

Méditons … que ce serait il passé si ce zero day avait été dévoilé publiquement avant son exploitation ?

Encore une fois, je sais que je radote, mais la sécurité est un process, pas produit, les modèles de réponses que l’on souhaite apporter à ces problématiques, surtout quand elles concernent une vulnérabilité dont on sait que la propagation pourrait être répide et coûteuse doivent être définis par un cadre légal, cependant je m’interroge aujourd’hui sur une mesure d’interdiction… même si les arguments de la cour de Cassassion sont de bon sens.

5 janvier 20105 janvier 2010

Freebre passe à Plone 4

Quand un geek tombe sur un soft en version alpha qu’il flash dessus, il fait forcement un truc dont il va se mordre les doigts plus tard, mais il le fait quand même … Et bien j’ai craqué, j’ai migré freebre.org en Plone 4 aplha3… et ouai … même pas du béta, la version d’en dessous, ça s’appelle un proof of concept. Alors autant vous le dire tout de suite, ne le faite pas, passer en prod une version alpha c’est du suicide, il s’agit d’une version de tests destinée aux développeurs et aux curieux impatients. Cependant je vais vous expliquer pourquoi d’une part le risque est mesuré et pourquoi je suis pas mécontent de cette migration.

Le premier point, c’est que Freebre était plus tout jeune (un Plone 2.1 de 2006). Les implémentations de javascript dans les navigateurs ont pas mal bougés, du coup le wysiwyg, Kupu avait tendance à s’exciter me renvoyant des messages d’erreur, ou à ne rien me renvoyer du tout, mais dans les deux ça commençait à devenir gênant. Kupu avait initialement été développé par Guido Wesdorp pour Silva d’Infrae, et adopté par la communauté Plone pour son efficacité et sa légèreté. Après des années de bons et loyaux services, la communauté a donc décidé de swicher pour TinyMCE, très riche, plutôt agréable qui génère un code assez propre, comme Kupu, c’est à dire bien plus propre qu’un FCKeditor.

Le second point, c’est que j’ai fais la bêtise d’essayer Plone 4 et il m’a relativement convaincu : on lui pardonne a vue des galeries bugguées pour le moment, c’est de l’ordre du détail.On remarque un petit bon en avant dans les versions de Python puisque l’on passe en version 2.6, et dans Zope qui passe en 2.12. Dés l’installation on se rend compte qu’on ne trouvera pas de révolution dans cette version, c’est plutôt bon signe car ça veut dire que l’on pourra relativement facilement migrer un Plone3 vers un Plone4, les produits d’extension eux aussi devraient trouver une relative compatibilité dans Plone 4. La version fournie est un buildout et le -v vous renseigne sur toutes les versions de softs installées. A l’usage, première impressions confirmée, en dehors de la nouvelle skin, sunburst, on retrouve un Plone 3 sensiblement amélioré mais pas de révolution fonctionnelle ou ergonomique. On notera enfin un petit confort appréciable : une interface pour prédéfinir la taille des vues des images (très utiles pour les intégrateurs qui n’auront pas à aller fouiller dans d’obscurs templates).

Voici quelques screenshots :

splash screen de l'installer — Splash screen de l'installer

4 janvier 201024 mars 2010

Hackable:Devices est en ligne

Hackable:Devices est une sorte de boutique/réseau social concentré autour de produits « hackables« , du matériel ouvert et bidouillable et des communautés de hackers. Hackable:Devices importe et propose à la vente une sélection de produits qui devraient ravir les nerds : Arduino, caméras HDD Elphel, Makerbot, Notebooks Lemote Yeeloong, Tux Droid 2.0, … Du matériel open source dont vous pouvez étendre les fonctionnalités. L’annonce de l’ouverture a été faite par les ours de Bearstech au 26C3.

Le concept de Hackable:Devices se décline autour de 3 choses :

Les utilisateurs (communauté de bidouilleurs autour d’un matériel).
Les produits : des produits sélectionné pour leur birdouillabilité et leur ouverture ;
Les événements : événements et convention auxquels les utilisateurs peuvent participer et se retrouver

Hackable:Devices propose des outils qui permettent aux hackers de documenter et d’échanger sur leur bidouilles hardware et surtout faire se rencontrer des bidouilleurs, des créateurs, des industriels et des investisseurs. Hackable:Devices est donc aussi un canal de distribution rêvé si vous avez un produit basé sur du matériel et/ou du sofware libre et que vous souhaitez le tester avant une mise en commercialisation tout en obtenant des retours qualifiés, à savoir des personnes qui vont vraiment jouer avec le produit et en devenir ou pas prescripteur. La communauté de Hackable-Devices devrait vite compter de nombreux geeks et si le concept fonctionne devenir une plateforme d’innovation très intéressante sur le plan communautaire ou des industriels pourraient collaborer avec des créateurs à l’élaboration de nouveaux produits.

Visitez Hackable-Devices

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.