CoHacking Space : Pas Sage en Seine

image-51Le milieu informatique Underground vous intrigue, vous êtes développeur, simple internaute curieux, bidouileur à vos heures ?
Voici l’événement parisien à ne pas manquer, ça se passe les 4 et 5 juin à la galerie des Panorama, près de la Bourse, au métro Grand Boulevard, dans le 2e arrondissement. Il s’agit d’un cohacking space se tenant un peu en mparge de l’événement Futur en Seine. Un meeting sur 2 jours, un espace d’échange et de rencontre pour causer cultures alternatives, contenus libres (art libre, créative commons …) mais également hacking, sécurité, pratiques alternatives du Net et Hacktivisme…
C’est avant tout un espace contributif dans lequel vous pouvez vous aussi intervenir afin de présenter vos propres bidouilles et vos pratiques pas sages.

En savoir plus sur l’événement

C’est ouvert à tous, un appel aux thèmes de présentations est disponible ici si vous souhaitez vous aussi présenter quelque chose … de pas sage.

Pour ma part je serai évidemment présent, notemment pour causer techniques de contournement de l’HADOPI et usages alternatifs du Wifi.

Contourner HADOPI pour les un peu moins nuls (partie 1) : iodine encapsulation IP over DNS

Avant de commencer, j’ai une bonne et une mauvaise nouvelle
La bonne : Création et Internet ne prévoit pas d’amendement pour interdire les requêtes DNS
La mauvaise : si vous ne comprenez pas ce qu’est une requêtes DNS, je n’expliquerais pas dans le détail ce que c’est … mais commencez par ça;
Ce billet risque de paraître un peu étrange à certains, j’espère que les autres apprécieront. Vu les possibilités offertes par cette bidouille, je ne vous dirais même pas à quoi ça peut servir, utilisez votre imagination 😉
… bon ok je vous donne un indice : « point d’accès wifi public » …

On commence par lire attentivement ceci :

http://code.kryo.se/iodine/

Nous avons deux machines une première à la maison connectée au net (pensez à ouvrir les ports qui vont bien sur votre routeur … oui le 53) sur laquelle je lance après l’avoir installé iodined, le serveur qui va récupérer nos paquets magiques

On s’occupe d’abord du serveur, on commence par installer iodine. Dans notre exemple il s’agit d’une Debian Lenny mais iodine à même l’air de tourner sur un grille pain … (si vous avez de vielles foneras dont vous ne savez que faire … ).


$ sudo apt-get install iodine

On le configure comme il se doit :

$ sudo dpkg reconfigure iodine

Donnez lui une ip et attention, il vous faut un domaine, pour notre notre exemple notre machine est hysteria.mondomaine.com
… on vous demandera aussi un password pour le tunnel (et en plus c’est secure !).

On peut maintenant lancer notre serveur :

bluetouff@hysteria:~$ sudo dpkg-reconfigure iodine
[sudo] password for bluetouff:
Opened dns0
Setting IP of dns0 to 10.0.0.1
Setting MTU of dns0 to 1024
Opened UDP socket
Listening to dns for domain monserveur.mondomaine.com
Detaching from terminal...

On s’occupe de notre Bind maintenant :

montunnel IN A xxx.xxx.xxx.xxx
tunnel1 IN NS montunnel.mondomaine.com.

Voilà, maintenant occupons nous maintenant de notre poste client (à priori un ordinateur portable puisque c’est avec cette machine que vous allez désespérément rechercher un réseau wifi). Dans notre exemple, il s’agit d’un macbook pro, pas de soucis non plus on passe par les sources :


$ wget http://code.kryo.se/iodine/iodine-0.5.1.tar.gz
$ tar -xvzf iodine-0.5.1.tar.gz
$ cd iodine-0.5.1
$ ls
CHANGELOG README-win32.txt man
Makefile TODO src
README doc tests
$ sudo make
Password:
OS is DARWIN, arch is i386
CC tun.c
CC dns.c
CC read.c
CC encoding.c
CC login.c
CC base32.c
CC base64.c
CC md5.c
CC common.c
common.c: In function ‘do_detach’:
common.c:172: warning: ‘daemon’ is deprecated (declared at /usr/include/stdlib.h:283)
CC iodine.c
LD ../bin/iodine
CC iodined.c
CC user.c
CC fw_query.c
LD ../bin/iodined

et nous voilà prêts à voir si notre tunnel fonctionne (remplacez les xxx par l’ip de votre serveur iodined)

$ cd bin
$ sudo ./iodine -v -f -u votrelogin -P votrepass xxx.xxx.xxx.xxx monserveur.mondomaine.com

Tentez maintenant un petit ping sur 10.0.0.1 si tout est ok ça devrait passer via notre petit tunnel

Comme je vous le disais plus haut, il faut cependant disposer d’un nom de domaine (ne faites donc pas n’importe quoi avec cette astuce car ça laisse quand même des traces).

Et la lumière fût ! Lancez une requête finissant par montunnel.mondomaine.com … enjoy !

En jouant sur le MTU, vous pouvez optimiser le débit de la connexion, un nom de domaine et de sous domaine le plus court possible est aussi une bonne chose à cause de l’encapsulation.

Pilot Systems sponsor de la Software Freedom Conference Kosova

image-111A Pristina, Kosovo du 28 au 30 août 2009, se tiendra la première Software Freedom Conference Kosova. Nos amis de Pilot Systems sont sponsors de cet événement (aux côté des incontournables Sun, MySQL et Mozilla) qui vise à réunir des développeurs locaux et la communauté internationale du Logiciel libre.
En cette occasion, un appel aux sujet de conférences a été lancé autour des thématiques suivantes :

  • Qu’est ce que le Logiciel Libre et Open Source ?
  • Comment le Logiciel Libre peut aider au développement d’une nation ?
  • Travail pratique sur l’utilisation de Logiciels Libres dans les écoles et entreprises
  • Comment le gouvernement et les institutions peuvent tirer parti du Logiciel Libre et Open Source ?
  • Présentation de projets par des développeurs locaux
  • VOIP
  • Comment travailler avec Microsoft en utilisant des Logiciels Libres ?
  • Copyright, licences et brevets

Pour soumettre vos propositions, vous pouvez utiliser ce formulaire en ligne mis à disposition par la SFK (Software Freedom Kosovo).

Plus d’informations :

HADOPI : « vol », « piratage », « pirates », « hackers » … une petite mise au point sémantique s’impose

minitelJ’ai eu la surprise de découvrir hier soir que l’excellent Rue89 citait mon petit blog ainsi que celui de l’ami Crashdump, c’est flatteur, certes, mais cependant une chose m’attriste. La news est intitulée « Téléchargement illégal : les pirates déjà dans l’après Hadopi« . Difficile pour moi d’encaisser le fait que je sois un « pirate ». La querelle sémantique a fait rage au sein de l’assemblée et on ne peut qu’abonder dans le sens du député Brard, quand ce dernier ce saisissant du Littré nous définit le terme « pirate » dans le sens le plus proche des débats qui nous intéressent.
Pirate : « Tout homme qui s’enrichit aux dépens d’autrui.« 
Un téléchargement n’a jamais eu d’impact positif sur mon compte bancaire, si quelqu’un d’entre vous sait comment transformer un clic de souris en euros sur un compte bancaire, j’aimerais qu’il nous en fasse la démonstration.
Le terme « pirate » est totalement inapproprié, il est le fruit d’une campagne de diabolisation sémantique des internautes : ces méchants internautes qui « volent » les gentils artistes… difficile de faire plus grossier et plus manichéen.

Parlons maintenant du vol :
Comme l’a souligné à maintes reprises Jérémie Zimmerman (La Quadrature du Net) , le vol entend une soustraction , un téléchargement c’est une multiplication. Pour enfoncer le clou, je vous invite à vous référer à la définition du vol par Maître Eolas, je cite : « un vol est l’appropriation frauduleuse de la chose d’autrui. Or il n’y a aucune dépossession en cas de copie illégale d’un film, ce qui exclut tout vol (il en va différemment si on vole la copie d’un film dans un supermarché sans la payer, par exemple, mais c’est le support, non l’œuvre, qui est volé, à son propriétaire, le supermarché, l’auteur ne subissant aucun préjudice). »
Le terme de « Hacker » mérite lui aussi qu’on s’intéresse à lui car trop souvent employé à tort et à travers. un hacker c’est avant tout un bidouilleur, un bidouilleur au sens noble du terme, capable de comprendre et de maîtriser une technologie ou un procédé, et dans certains cas de le détourner. Le hacker est un passionné, un amateur éclairé (amateur au sens de celui qui aime les choses bien faites).
Maintenant la notion de Hacker dépoussiérée, passons au terme hacktiviste :
Je vais vous dévoiler un scoop qui n’en est pas un pour ceux qui me connaissent, je suis un hacktiviste. Je suis un hacktiviste car je mets mes compétences techniques au service de mes idées politiques, je réalise des sites web, j’écris beaucoup, je suis un peu versé dans la SEO, je suis quelqu’un de plutôt sociable et ouvert, je ne refuse jamais le dialogue et j’utilise des méthodes strictement légales et respecteuses des opinions d’autrui.

  • Je suis un hacktiviste car je crois fermement que l’information doit être libre ;
  • Je suis un hacktiviste car je trouve systématiquement un moyen de prendre la parole quand on cherche à me bâillonner ;
  • Je suis un hacktiviste car je ne cautionne pas la désinformation et je n’entends pas la propagande;
  • Je suis un hacktiviste car je refuse qu’on labellise les informations auxquelles j’accède et que l’on m’interdise l’accès à des informations non certifiées par le gouvernement ou toute autre autorité ;
  • Je suis un hacktiviste car je ne veux pas faire parti des dommages collatéraux causés par des lois irresponsables aux conséquences non mesurées ;
  • Je suis un hacktiviste car je suis prêt à me battre politiquement pour mes idées et dénoncer des dérives totalitaristes et liberticides comme la loi Création et Internet.

Je ne suis pas un pirate, je ne suis pas un voleur, je ne suis pas un terroriste, je ne suis pas un dangereux anarchiste, je suis un citoyen, je vote, je suis internaute doté d’un écran, d’un clavier, d’une ip, d’un email, et d’un cerveau … comme vous.
Si vous lisez ce blog, c’est que quelque part, vous aussi vous êtes un hacktiviste : libres d’accéder à l’information présentée ici, libres de la contester, libre de la relayer.
L’hacktivisme est la seule réponse sensée au lobbying qui se situe dans des sphères auxquelles nous n’accédons pas, et personne ne nous interdira d’accéder aux sphères dans lesquelles nous agissons : notre sphère à nous c’est Internet.

Les internautes ne sont pas dupes, ils ont parfaitement compris que sous couvert de protection des artistes (qui peut ici citer une seule mesure dans l’HADOPI qui permettra aux artistes de vivre mieux ?) il est question de transformer l’internet en minitel (voir la vidéo), avec une surenchère de mesures plus stupides les unes que les autres visant à brider cet espace pourtant culturellement et économiquement sain.
Comme nous l’avions fait remarquer à Madame Militello qui s’insurgeait d’une manifestation spontanée ayant paralysé le site jaimelesartistes.fr suite à la provocation gratuite du Ministère de la Culture, nos moyens d’action sont grands. Chercher à nous faire taire, nous refuser le débat, ne servira à rien, nous sommes 25 millions d’internautes, nous sommes 25 millions d’hacktivistes, et si 10% de ces 25 millions d’internautes français manifestent devant leur écran, aucun site ne leur résistera, aucune propagande ne tiendra … nous en viendrons à bout. Et s’il faut aller en préfecture prévenir qu’à un instant T nous manifesterons par notre seule présence sur un site web, nous nous plierons à cette règle, comme pour n’importe quelle manifestation physique. Dans la société civile, un déni de service, on appelle cela une manifestation. Qualifie t-on pour autant les routiers, la SCNF ou la RATP de « pirates » quand ils sont en grève et paralysent nos déplacement ? J’entends que ce droit de rassemblement soit lui aussi reconnu sur Internet qui n’est qu’une transposition numérique de notre société, pour toutes ces raisons, je suis un hacktiviste.

Pilot Systems organise le Plone World 2009 Day à La Cantine

wpd-2009Pilot Systems organise le Plone World Day 2009 à la Cantine le 22 avril prochain. L’occasion pour nous de voir ce qui se fait sur la planète Plone et des très (trop) nombreuses nouveautés de ces derniers mois. Et oui, Plone change beaucoup en ce moment et cette journée mondiale est pour les professionnels et amateurs éclairés qui utilisent Plone, l’occasion de rencontrer un public pour exposer les orientations, les projets, les innovations de ce système de gestion de contenu professionnel. Toonux participera bien évidemment à cette rencontre aux côtés de Pilot Systems et NPAI et de toutes personnes souhaitant se joindre à nous pour (re)découvrir ce CMS, qui reste à ce jour avec Drupal l’un des rares CMS à usage professionnel.

Au programme cette année : utilisation de Plone en environnement virtualisé avec Xen, Amazon, VMWare, KVM ainsi que Cloud Computing …

L’inscription est vivement recommandée

Oracle devrait finalement racheter SUN Microsystems

imagesIl semble que IBM ai loupé le coche, Oracle annonce le rachat de Sun Microsystems pour la somme de 7,4 milliards de dollars.
L’information est parue sur BBC News et révèle que SUN est prêt à débourser $9.50 par action soit un bonnus de 42% par rapport à leur valorisation de vendredi dernier.
Espérons qu’Oracle saura préserver le caractère Open Source de Sun Microsystems qui est une entreprise qui a fait beaucoup pour le Libre. Les marchés, eux, accueillent plutôt bien la nouvelle, on s’en serait douté, l’action Sun ne se portait pas au mieux ces derniers temps.

Contourner l’HADOPI pour les nuls (partie 5) : wireless (in)fidelity

imageLe wifi est une très belle invention, c’est génial, c’est sans fil, c’est Brazil … mais niveau sécurité, le moins que l’on puisse dire c’est que ce n’est pas vraiment simple pour notre Madame Michu d’avoir un réseau blindé.
En agglomération, certains vont s’en donner à cœur joie ! Ce n’est pas si compliqué que ça et ça nécessite un investissement dérisoire de quelques dizaines d’euros : Il faut commencer par s’équiper d’une carte compatible avec le logiciel que vous souhaitez utiliser (entre 20 et 50 euros) et éventuellement d’une antenne pour maximiser la réception et éventuellement l’injection de paquet.

Les réseaux chiffrés en WEP sont encore très nombreux, mais ce n’est pas parce que notre madame Michu est en WPA qu’elle sera pour autant épargnée, le TKIP est lui aussi tombé et c’est souvent ce que proposent par défaut les « box » des fournisseurs d’accès… Le choix des passphrases devant porter sur certaines box sur une suite d’au moins 10 caractères alphanumériques, de nombreux utilisateurs ont la bonne idée de mettre leur numéro de téléphone en passphrase, vous seriez surpris de savoir à quel point le bottin téléphonique représente un super dico d’attaque.

Et puis il existe une méthode assez bourrin de profiter du débit de ses voisins, voici le matériel ultime, le slurpr… une telle box est cependant très simple à réaliser mais il vous faudra quelques connaissances du système Linux pour parvenir à configurer ça correctement, le principe est de coller un max de cartes wifi qui se chargeront de voler la bande passante de plusieurs connexion pour en restituer une énorme.

Si notre madame Michu souhaite se protéger, il lui faudra désactiver purement et simplement l’usage de TKIP et privilégier l’AES CCMP, de quoi lui donner de bons maux de crâne, mais c’est le prix qu’elle devra payer pour qu’on ne lui coupe sa connexion à cause d’un Jean-Kevin indélicat.

Vidéos GCU Solutions Linux 2009 -)

Elle sont là, elle sont belles, elles sont propres … ah non merde c’est du flash. Bref elle sont là, vous les attendiez : LES VIDEOS DE LA GCU PARADE 2009 au solution Linux sont en ligne.
Le thème cette année tournait autour de Christine et des 5 gus qui soutiennent le projet de loi au nom aussi débile que son contenu : l’HADOPI !

C’est donc un cru historique !

Voir les vidéos

/-)

Enjoy

IBM sur le point de racheter SUN Microsystems ?

sun-microsystems-logo-pro_0050005000225941La rumeur se fait persistante, IBM se montrerait intéressé par le rachat de SUN Microsystems. Si ces rumeurs se confirmaient, il s’agirait d’une nouvelle menace pour Microsoft qui devrait faire face à un nouveau géant qui puise sa clientèle dans un public déjà pas forcément acquis à sa cause. Sun et IBM sont deux entreprises qui ont beaucoup investi dans les technologies Open Source.
En tout cas ceci semble sérieux puisque le Wallstreet Journal s’en fait l’écho. On parle d’une offre portant sur la somme 6,3 milliards de dollars pour cette transaction.

Fermeture de Jaimelesatistes.fr et le délirium de Muriel Marland-Militello

image-1

Le site de propagande Jaimelesartistes.fr qui a même fait débat au sein de l’hémicycle, a finalement fermé définitivement ses portes.
Le site avait subit les attaques par Déni de Service Distribué (DDoS) depuis que le Ministère de la Culture ai jugé malin de provoquer les hackers publiquement avec un « ils peuvent y aller notre site est super blindé« … il faut en tenir une sacrée couche pour avancer ce genre de propos, d’ailleurs l’hébergeur du site, Pushitup, confiaitQuand j’ai lu hier soir sur votre site, la phrase suivante « Mais ils peuvent toujours attaquer, le site est super blindé », je savais que je passerais une mauvaise nuit ».

La communication du Ministère de la Culture à ce sujet est encore une fois modèle de débilité profonde : elle accuse les hackers d’être responsables de cette fermeture, ce après une provocation stupide dont il est l’auteur… sans jamais faire son mea culpa sur les contenus de ce site de propagande financé avec de l’argent public pour servir les intérêts des industriels des biens culturels dématérialisables. L’occasion est trop belle pour stigmatiser « les pirates de l’Internet »… cette zone de non droit ou les criminels en tout genre établissent leur nid.

Primo ce site ne serait jamais tombé sans les provocations idiotes du Ministère de la Culture ou de son agence de communication ;
Secondo, si tous les sites fermaient à cause d’un DDoS, le Net serait bien vide : un peu comme si des hackers lançaient un déni de service sur http://impots.gouv.fr et que du jour au lendemain nous n’ayons plus à payer d’impôts.

Soyons clair, nous ne cautionnons pas cette pratique peu gentleman de faire passer un message : un DDoS c’est moche.

En revanche il y a de quoi être particulièrement outré des propos de madame Muriel Marland-Militello qui reflètent l’e-gnaritude profonde de l’environnement qu’elle décrit.
« Je condamne fermement les personnes qui se sont rendues coupables d’attaques massives sur le site internet jaimelesartistes.fr, mis en place par le Ministère de la Culture », écrit-elle sur son blog. « Ces actes liberticides sont proprement inadmissibles. Ils bafouent le droit pour les citoyens d’être informés sur les projets gouvernementaux. Ils bafouent la liberté d’expression ». peut-on lire dans cet article de Numerama.

Alors, comme on est sympa, on va expliquer à la madame ce qu’est un DDoS et on va ensuite lui expliquer ce qu’il convient de qualifier de liberticide quand le Ministère de la Culture claque de l’argent public pour un site de promotion d’un projet de loi sans y autoriser le débat contradictoire qu’il convient.

Le DDoS pour les Nuls

Alors Muriel, un DDoS (Distributed Denial of Service, ou Déni de Service Distribué en français), pour faire simple, c’est un peu comme quand les routiers manifestent en bloquant le périphérique ou un tronçon autoroutier. Sur internet, ceci se traduit par un afflux de trafic sur le site cible, qui finit par plier sous les requêtes, ni plus ni moins.
…. à ben oui, dans les faits c’est bien moins grandiloquent pour la presse que le mythe du Pirate de 12 ans qui s’introduit sur les serveurs de la DGSE ou du hacker chinois qui arrive à rooter la France avec un trojan dans un document Word.

Et oui Muriel, ceux que tu appelles des « pirates », des « cybercriminels » du simple fait de ta cyber-inculture, dans la société civile on appelle ça des manifestants … et les manifestations ça crée des embouteillages… tu vois le concept ou tu as besoin d’un usecase UML ?

  • Mais en quoi ceci est il liberticide ?
  • Quel député emploi ce mot quand la RATP ou la SNCF prend en otage ses usagers ?
  • Personne ?

Tien c’est marrant… une manifestation provoquant des embouteillages sur Internet c’est forcément un acte de terrorisme liberticide de méchants pirates pédo-violeurs-mafieux qui empêchent le gentil Ministère de la Culture copain avec les gentilles majors du gentil Fouquets qui défendent les gentils artistes … de cultiver un peu plus l’opinion publique. A prendre les gens pour des cons, on finit toujours par révéler l’abrutis qui est nous … c’est humain.

Vous avez dit liberticide ?

Comme il est amusant de se voir donner des leçons de démocratie par les sbires du Ministère de la Culture dont nous avions analysé la propagande ici.

Dans les faits, qu’est ce que le site Jaimelesartistes.fr défendait ?

  • il défendait le projet de loi Création et Internet,
  • il défendait un projet d’annihilation des libertés numériques et de nos libertés en général (des principes fondamentaux de droit sont remis en question comme les droits de la défense, le droit à un procès équitable, ou la présomption d’innocence)
  • il défendait le droit du gouvernement à dépenser de l’argent public pour assurer la promotion d’un projet de loi stalinien
  • il défendait surtout les intérêts d’une corporation comme le ferait un syndicat national … une attitude indigne d’un Ministère.

Nous avions tout de suite dénoncé les objectifs cachés de ce site web hideux qui a quand même coûté entre 50 000 et 85 000 euros ! Comme nous sommes dans le métier … comment vous dire … facturer une telle bouse à ce prix là, c’est tout simplement du vol. Il faudra inclure cependant dans cette somme la prose de l’agence de communication et des babioles de propagande : teeshirts, pins et autre conneries Made in China qui tel les DRM finiront dans /dev/null

Enfin, comme le soulignait Patrick Bloche, décidément brillant sur la forme comme sur le fond « si c’est de la communication et qu’il s’agit d’un site officiel, financé par de l’argent public, le moins que l’on puisse alors demander, c’est que la parole y soit donnée à ceux qui s’opposent à ce projet de loi ». « Au lieu de dialoguer avec M. Luc Besson sous les ors du ministère, acceptez la contradiction ; acceptez que nous dialoguions avec vous sur ce site officiel et que nous y développions nos arguments. Cela, ce serait de la communication ! Comme ce n’est pas le cas, il s’agit d’un site de propagande »

Jaimelesartistes est mort ! vive les artistes !