Hackito Ergo Sum 2011

Hackito Ergo Sum 2011

Hackito Ergo Sum est le rendez-vous international que vous fixe le hackerspace /tmp/lab. L’édition 2011 se tiendra du 7 au 9 avril et reunira, on peut leur faire confiance, de nombreux talents pour offrir des interactions de haut niveau. L’appel à participation vient tout juste d’être lancé. Si vous avez des choses à partager, qu’il s’agisse de code ou de bidouille matérielle, cet événement est un incontournable : conférences de haut niveau, capture the flag, des rencontres qui s’adressent aussi bien aux bidouilleurs qu’aux institutionnels ou représentant d’organisation gouvernementale.

La HADOPI ne sera surement pas oubliée, quelque part entre le hacking d’Echelon et de SCADA, un set « Governmental firewall and their limits (Australia, French’s HADOPI, China, Iran, Denmark, Germany, …) » est prévu et je ne saurai trop recommander aux représentants de la HADOPI d’y participer pour comprendre que les limites ne sont pas que philosophiques et que les dangers sont bien réels.

HES 2011 c’est aussi et surtout l’espoir de voir un jour la France rattraper son retard historique sur les autres pays européens en matière de hacking. Faut il encore préciser que le hacking est une discipline noble, utile, favorisant l’innovation et la créativité, indiscociable de la recherche informatique ou de la recherche en général, et qui ‘na rien à voir avec le « piratage ».

A noter que HES2011 se cherche encore des sponsors, n’hésitez pas à les contacter si vous pensez que l’image de votre institution ou de votre entreprise peut trouver une cohérence à s’associer avec un évènement de ce type dont on sait par avance qu’il ne peut être qu’une réussite vu le sérieux reconnu du /tmp/lab pour l’organisation d’évènements (comme le Hacker Space Festival) et sa faculté à regrouper aisément des spécialistes très reconnus dans leur discipline.

HES 2011 : le call for paper

–[ Synopsis:
Hackito Ergo Sum conference will be held from April 7th to the 9th of 2011 in Paris, France.
Following last edition’s success, HES2011 will be a bigger event with even more talks, focusing on hardcore computer & network security, insecurity, vulnerability analysis, reverse engineering, research and hacking, and will try to keep the high quality content. Our dear Program Committee is there to ensure this.
HES will this year be a fully international-oriented conference, 100% in English, aiming to gather the best security researchers, experts and decision makers in one room.
–[ Introduction:
The goal of this conference is to promote security research, broaden public awareness and create an open forum so that communication between the researchers, the security industry, the experts and the public can happen.
Last year, we pioneered a domain with the first Capture The Flag (CTF) contest on FPGA, with excellent result that exceeded by far our expectations. This year, new contests will run with hopefully even more diverse and new approaches to security. Of course, network-based CTF and lockpicking contest will still happen.
We will have a specific session for new works, including slots for new presenters -i.e. typically people whose personal research are extremely interesting but who do not usually present at conferences- because security innovations occur at the fringe of the security industry, very often by passionate people, and that’s what we are and love. Submissions from students, academics or otherwise passionate people from anywhere on the internet are therefore most welcome.
We will also have an anonymous side track so that people who wish to present sensitive subjects can do so in total freedom. As we believe the academic system as setup a good precedent with anonymous submissions, review and voting, we wish to pursue this direction by providing researcher a way to share important contribution without being concerned with politics and other non-research influences.
This conference will try to take into account all voices in order to reach a balanced position regarding research and security, inviting businesses, governmental actors, researchers, professionals and the general public to share concerns, approaches and interests for this topic.
During three days research conferences, solutions presentations, panels and debates will aim to view and determine the future of IT security.
–[ Content of the Research Track:
We are expecting submissions in English only. The format will be 45 mins presentation + 10 mins Q&A.
Please note that talks whose content will be judged too commercial or biased toward a given vendor will be rejected.
For the research track, preference will be given to offensive, innovative and highly technical proposals covering (but not restricted to) the topics below:
[*] Attacking Software
* Automating vulnerability discovery
* The business of the 0-day market
* Non-x86 exploitation
* New classes of software vulnerabilities and new methods to detect
software bugs (source or binary based)
* Static and Dynamic binary or source-based analysis
* Current exploitation on Gnu/Linux WITH GRsecurity/SElinux/OpenWall/SSP
and other current protection methods
* Kernel land exploits (new architectures or remote only)
* New advances in Attack frameworks and automation
* Secure Development Life Cycle and real-life development experiences
[*] Attacking Infrastructures
* Botnets and C&C abuses
* Exotic Network Attacks
* Telecom (from VoIP to SS7 to GSM & 3G/4G RF hacks)
* Financial and Banking institutions
* SCADA and the industrial world, applied.
* Governmental firewall and their limits (Australia, French’s HADOPI,
China, Iran, Denmark, Germany, …)
* Law enforcement : how to / how to deceive / how to abuse.
* Satellites, Military, Intelligence data collection backbones
(« I hacked Echelon and I would like to share »)
* Non-IP (SNA, ISO, make us dream…)
* M2M
* Wormable vulnerabilities against protocols & infrastructures
[*] Attacking Hardware
* Hardware reverse engineering (and exploitation + backdooring)
* Femto-cell hacking (3G, LTE, …)
* BIOS and otherwise low-level exploitation vectors
* Real-world SMM usage! We know it’s vulnerable, now let’s do something
* WiFi drivers and System on Chip (SoC) overflow, exploitation and backdooring.
* Gnu Radio hacking applied to new domains
[*] Attacking Crypto
* Practical crypto attacks from the hacker’s perspective
(RCE, algo modeling, bruteforce, FPGA …)
* Algorithm strength modeling and evaluation metrics
* Hashing functions pre-image attacks
* Crypto where you wouldn’t think there is
We highly encourage any other presentation topic that we may not even imagine.
–[ Submissions:
[*] Required information:
Submitions must (see RFC 2119 for the meaning of this word) contain the following information:
* Speaker’s name or alias
* Biography
* Presentation Title
* Description
* Needs: Internet? Others?
* Company (name) or Independent?
* Address
* Phone
* Email
* Demo (Y/N)
We highly encourage and will favor presentations with a demo.
Submissions may contain the following information:
* Tool
* Slides
* Whitepaper
[*] How to submit:
Submit your presentation and materials at:
http://hackitoergosum.org/apply/
–[ Workshops:
If you want to organize a workshop or any other activity during the conference, you are most welcome. Please contact us at: [email protected]
–[ Dates:
2010-11-15    Call for Paper
2011-02-20    Submission Deadline
2011-02-21    Acceptance notification
2011-03-01    Program announcement
2011-04-07    Start of conference
2011-04-09    End of conference
–[  Program Committe:
The submissions will be reviewed by the following program committee:
* Tavis Ormandy (Google) @taviso
* Matthew Conover (Symantec) @symcmatt
* Jason Martin (SDNA Consulting, Shakacon)
* Stephen Ridley @s7ephen
* Mark Dowd (AzimuthSecurity) @mdowd
* Tiago Assumpcao
* Alex Rice (Facebook) facebook.com/rice
* Pedram Amini (ZDI) @pedramamini
* Erik Cabetas
* Dino A. Dai Zovi (Trail Of Bits) @dinodaizovi
* Alexander Sotirov @alexsotirov
* Barnaby Jack (IOActive) @barnaby_jack
* Charlie Miller (SecurityEvaluators) @0xcharlie
* David Litchfield (V3rity Software) @dlitchfield
* Lurene Grenier (Harris) @pusscat
* Alex Ionescu @aionescu
* Nico Waisman (Immunity)  @nicowaisman
* Philippe Langlois (P1 Security, TSTF, /tmp/lab) @philpraxis
* Jonathan Brossard (Toucan System, P1 Code Security, /tmp/lab) @endrazine
* Matthieu Suiche (MoonSols) @msuiche
* Piotr Bania @piotrbania
* Laurent Gaffié (Stratsec) @laurentgaffie
* Julien Tinnes (Google)
* Brad Spengler (aka spender) (Grsecurity)
* Silvio Cesare (Deakin University) @silviocesare
* Carlos Sarraute (Core security)
* Cesar Cerrudo (Argeniss) @cesarcer
* Daniel Hodson (aka mercy) (Ruxcon)
* Nicolas Ruff (E.A.D.S) @newsoft
* Julien Vanegue (Microsoft US) @jvanegue
* Itzik Kotler (aka izik) (Security Art) @itzikkotler
* Rodrigo Branco (aka BSDeamon) (Checkpoint) @bsdaemon
* Tim Shelton (aka Redsand) (HAWK Network Defense) @redsandbl4ck
* Ilja Van Sprundel (IOActive)
* Raoul Chiesa (TSTF)
* Dhillon Andrew Kannabhiran (HITB) @hackinthebox
* Philip Petterson (aka Rebel)
* The Grugq (COSEINC) @thegrugq
* Emmanuel Gadaix (TSTF) @gadaix
* Kugg (/tmp/lab)
* Harald  Welte (gnumonks.org) @LaF0rge
* Van Hauser (THC)
* Fyodor Yarochkin (Armorize) @fygrave
* Gamma (THC, Teso)
* Pipacs (Linux Kernel Page Exec Protection)
* Shyama Rose @shazzzam
–[ Fees:
Business-ticket (3 days)                                         120 EUR
Public entrance (3 days)                                         80 EUR
Discount for Students below 26  (3 days)                         40 EUR
Discount for CVE publisher or exploit publisher in 2010-2011(3d) 40 EUR
One-day pass                                                     40 EUR
Volunteers (Must register, see below)  (3 days)                   0 EUR
–[ Trainings
The list of trainings for HES2011 will be announced shortly after CFP publishing. You can still send us training description to hes2011-orga AT_lists.hackitoergosum.org if you want to offer some training. Trainings will happen from Monday 4th of April until Wednesday 6th of April, just before the conference.
–[ Sponsors:
We are looking for sponsors. Entrance fees and sponsors fees are used to fund international speakers travel costs and hosting facility. Please ask for the HES2011 Sponsor Kit at hes2011-orga __AT__ lists.hackitoergosum.org.
–[ Volunteers:
Volunteers who sign up before 2011-03-01 get free access and will need to be present onsite two days before (2011-04-05) if no further arrangement is made
with the organization.
–[ Journalists:
Journalists are welcome, but are required to comply with simple rules to ensure the mutual respect among adults we aim to bring in hackito. In particular, filming or taking pictures of attendees without their prior agreement is totally prohibited. « We shall respect privacy and people » is the only motto.
–[ Greetz:
We would like to thank the HES2010 Team, its reviewing committee and all the volunteers for their time and dedication in making this event a success. Thumbs up to the /tmp/lab hackerspace for their support and the final HES party which was a tremendous success.
We would also like to greet all the speakers of last year’s edition for the quality of their presentation and the great time we shared in Paris : you are all most welcome back in Paris for the 2011 edition.
Likewise, we’d like to thank last year’s sponsors for their unconditional support. Feel free to support us again for this 2011 edition.
Finally, we would like to thank all the people that participated to last years edition : the conference is the people 🙂 See you all in April !

–[ Synopsis:
Hackito Ergo Sum conference will be held from April 7th to the 9th of 2011 in Paris, France.
Following last edition’s success, HES2011 will be a bigger event with even more talks, focusing on hardcore computer & network security, insecurity, vulnerability analysis, reverse engineering, research and hacking, and will try to keep the high quality content. Our dear Program Committee is there to ensure this.
HES will this year be a fully international-oriented conference, 100% in English, aiming to gather the best security researchers, experts and decision makers in one room.

–[ Introduction:
The goal of this conference is to promote security research, broaden public awareness and create an open forum so that communication between the researchers, the security industry, the experts and the public can happen.
Last year, we pioneered a domain with the first Capture The Flag (CTF) contest on FPGA, with excellent result that exceeded by far our expectations. This year, new contests will run with hopefully even more diverse and new approaches to security. Of course, network-based CTF and lockpicking contest will still happen.
We will have a specific session for new works, including slots for new presenters -i.e. typically people whose personal research are extremely interesting but who do not usually present at conferences- because security innovations occur at the fringe of the security industry, very often by passionate people, and that’s what we are and love. Submissions from students, academics or otherwise passionate people from anywhere on the internet are therefore most welcome.
We will also have an anonymous side track so that people who wish to present sensitive subjects can do so in total freedom. As we believe the academic system as setup a good precedent with anonymous submissions, review and voting, we wish to pursue this direction by providing researcher a way to share important contribution without being concerned with politics and other non-research influences.
This conference will try to take into account all voices in order to reach a balanced position regarding research and security, inviting businesses, governmental actors, researchers, professionals and the general public to share concerns, approaches and interests for this topic.
During three days research conferences, solutions presentations, panels and debates will aim to view and determine the future of IT security.

–[ Content of the Research Track:
We are expecting submissions in English only. The format will be 45 mins presentation + 10 mins Q&A.
Please note that talks whose content will be judged too commercial or biased toward a given vendor will be rejected.
For the research track, preference will be given to offensive, innovative and highly technical proposals covering (but not restricted to) the topics below:
[*] Attacking Software   * Automating vulnerability discovery   * The business of the 0-day market   * Non-x86 exploitation   * New classes of software vulnerabilities and new methods to detect     software bugs (source or binary based)   * Static and Dynamic binary or source-based analysis   * Current exploitation on Gnu/Linux WITH GRsecurity/SElinux/OpenWall/SSP     and other current protection methods   * Kernel land exploits (new architectures or remote only)   * New advances in Attack frameworks and automation   * Secure Development Life Cycle and real-life development experiences
[*] Attacking Infrastructures   * Botnets and C&C abuses   * Exotic Network Attacks   * Telecom (from VoIP to SS7 to GSM & 3G/4G RF hacks)   * Financial and Banking institutions   * SCADA and the industrial world, applied.   * Governmental firewall and their limits (Australia, French’s HADOPI,     China, Iran, Denmark, Germany, …)   * Law enforcement : how to / how to deceive / how to abuse.   * Satellites, Military, Intelligence data collection backbones     (« I hacked Echelon and I would like to share »)   * Non-IP (SNA, ISO, make us dream…)   * M2M   * Wormable vulnerabilities against protocols & infrastructures
[*] Attacking Hardware   * Hardware reverse engineering (and exploitation + backdooring)   * Femto-cell hacking (3G, LTE, …)   * BIOS and otherwise low-level exploitation vectors   * Real-world SMM usage! We know it’s vulnerable, now let’s do something   * WiFi drivers and System on Chip (SoC) overflow, exploitation and backdooring.   * Gnu Radio hacking applied to new domains
[*] Attacking Crypto   * Practical crypto attacks from the hacker’s perspective     (RCE, algo modeling, bruteforce, FPGA …)   * Algorithm strength modeling and evaluation metrics   * Hashing functions pre-image attacks   * Crypto where you wouldn’t think there is
We highly encourage any other presentation topic that we may not even imagine.
–[ Submissions:
[*] Required information:
Submitions must (see RFC 2119 for the meaning of this word) contain the following information:
* Speaker’s name or alias* Biography* Presentation Title* Description* Needs: Internet? Others?* Company (name) or Independent?* Address* Phone* Email* Demo (Y/N)
We highly encourage and will favor presentations with a demo.
Submissions may contain the following information:* Tool* Slides* Whitepaper
[*] How to submit:
Submit your presentation and materials at:http://hackitoergosum.org/apply/

–[ Workshops:
If you want to organize a workshop or any other activity during the conference, you are most welcome. Please contact us at: [email protected]

–[ Dates:
2010-11-15    Call for Paper2011-02-20    Submission Deadline2011-02-21    Acceptance notification2011-03-01    Program announcement2011-04-07    Start of conference2011-04-09    End of conference
–[  Program Committe:
The submissions will be reviewed by the following program committee:* Tavis Ormandy (Google) @taviso* Matthew Conover (Symantec) @symcmatt* Jason Martin (SDNA Consulting, Shakacon)* Stephen Ridley @s7ephen* Mark Dowd (AzimuthSecurity) @mdowd* Tiago Assumpcao* Alex Rice (Facebook) facebook.com/rice* Pedram Amini (ZDI) @pedramamini* Erik Cabetas* Dino A. Dai Zovi (Trail Of Bits) @dinodaizovi* Alexander Sotirov @alexsotirov* Barnaby Jack (IOActive) @barnaby_jack* Charlie Miller (SecurityEvaluators) @0xcharlie* David Litchfield (V3rity Software) @dlitchfield* Lurene Grenier (Harris) @pusscat* Alex Ionescu @aionescu* Nico Waisman (Immunity)  @nicowaisman* Philippe Langlois (P1 Security, TSTF, /tmp/lab) @philpraxis* Jonathan Brossard (Toucan System, P1 Code Security, /tmp/lab) @endrazine* Matthieu Suiche (MoonSols) @msuiche* Piotr Bania @piotrbania* Laurent Gaffié (Stratsec) @laurentgaffie* Julien Tinnes (Google)* Brad Spengler (aka spender) (Grsecurity)* Silvio Cesare (Deakin University) @silviocesare* Carlos Sarraute (Core security)* Cesar Cerrudo (Argeniss) @cesarcer* Daniel Hodson (aka mercy) (Ruxcon)* Nicolas Ruff (E.A.D.S) @newsoft* Julien Vanegue (Microsoft US) @jvanegue* Itzik Kotler (aka izik) (Security Art) @itzikkotler* Rodrigo Branco (aka BSDeamon) (Checkpoint) @bsdaemon* Tim Shelton (aka Redsand) (HAWK Network Defense) @redsandbl4ck* Ilja Van Sprundel (IOActive)* Raoul Chiesa (TSTF)* Dhillon Andrew Kannabhiran (HITB) @hackinthebox* Philip Petterson (aka Rebel)* The Grugq (COSEINC) @thegrugq* Emmanuel Gadaix (TSTF) @gadaix* Kugg (/tmp/lab)* Harald  Welte (gnumonks.org) @LaF0rge* Van Hauser (THC)* Fyodor Yarochkin (Armorize) @fygrave* Gamma (THC, Teso)* Pipacs (Linux Kernel Page Exec Protection)* Shyama Rose @shazzzam
–[ Fees:
Business-ticket (3 days)                                         120 EUR
Public entrance (3 days)                                         80 EURDiscount for Students below 26  (3 days)                         40 EURDiscount for CVE publisher or exploit publisher in 2010-2011(3d) 40 EUROne-day pass                                                     40 EURVolunteers (Must register, see below)  (3 days)                   0 EUR
–[ Trainings
The list of trainings for HES2011 will be announced shortly after CFP publishing. You can still send us training description to hes2011-orga AT_lists.hackitoergosum.org if you want to offer some training. Trainings will happen from Monday 4th of April until Wednesday 6th of April, just before the conference.
–[ Sponsors:
We are looking for sponsors. Entrance fees and sponsors fees are used to fund international speakers travel costs and hosting facility. Please ask for the HES2011 Sponsor Kit at hes2011-orga __AT__ lists.hackitoergosum.org.
–[ Volunteers:
Volunteers who sign up before 2011-03-01 get free access and will need to be present onsite two days before (2011-04-05) if no further arrangement is madewith the organization.
–[ Journalists:
Journalists are welcome, but are required to comply with simple rules to ensure the mutual respect among adults we aim to bring in hackito. In particular, filming or taking pictures of attendees without their prior agreement is totally prohibited. « We shall respect privacy and people » is the only motto.

–[ Greetz:
We would like to thank the HES2010 Team, its reviewing committee and all the volunteers for their time and dedication in making this event a success. Thumbs up to the /tmp/lab hackerspace for their support and the final HES party which was a tremendous success.
We would also like to greet all the speakers of last year’s edition for the quality of their presentation and the great time we shared in Paris : you are all most welcome back in Paris for the 2011 edition.
Likewise, we’d like to thank last year’s sponsors for their unconditional support. Feel free to support us again for this 2011 edition.
Finally, we would like to thank all the people that participated to last years edition : the conference is the people 🙂 See you all in April !

–[ Contact:

— [ Social Media:

Keep in touch with the HES Organization via Facebook, Twitter and Linkedin !

Atteintes aux libertés : tout ce qui rentre par Internet, finit par sortir d’Internet

Vidéo Répression à Nice

Peut être m’avez vous déjà entendu mettre en garde sur d’éventuelles transpositions d’usages, par arrêtés municipaux ou décrets ministériels, de dispositifs intrusifs, à d’autres champs d’applications que l’Internet. On y arrive aujourd’hui, c’est encore en beta test, mais on sait qu’il y a de l’avenir là dedans, et ce 1er novembre est le jour d’inauguration d’un truc qui va faire super plaisir aux niçois. Quand il s’agit d’atteinte aux libertés, tout ce qui rentre par Internet, finit par sortir d’Internet.

Quand on parle d’écoutes généralisées avec le Deep Packet Inspection sur Internet que certains souhaiteraient voir utilisé à des fins de reconnaissance des contenus pour « dépolluer Internet de toute infraction au droit d’auteur », on parle bien de surveillance de masse. Christian Estrosi, très zélé maire de Nice quand il s’agit de sécurité, et accessoirement ministre de l’industrie et des fiinances, le ministère de tutelle du secrétariat d’État à l’économie numérique ou auteur du rapport de l’Etat sur la neutralité des réseaux pas orienté du tout par le discours d’Alcateld’Orange… a eu l’excellente idée d’offrir à ses agents municipaux, le réseau des caméras de la ville, pour constater, en vidéo des infraction et ainsi pour les verbaliser. Pour l’instant ce n’est pas automatisé, un policier municipal est derrière l’écran, il constate l’infraction et verbalise. Mais la prochaine étape, soyez en assurés, ce sera l’automatisation de l’infraction grâce à une technologie de reconnaissance de caractères pour lire les plaques d’immatriculation et de traitement vidéo… un HADOPI Like, on va refaire du tout neuf avec du tout vieux, c’est une règle en politique.

Ce sont à Nice 600 caméras qui sont à disposition des agents municipaux pour punir les infractions au code de la route ! On attend le décret qui accordera une réduction d’impôts locaux aux foyers qui placent une camera de « vidéo protection municipale » dans leur salon. Certaines municipalités devraient elles aussi être fort tentées de suivre l’exemple.

Évidemment, Christian Estrosi précise qu’il souhaite étendre ce genre d’utilisation du dispositif de « vidéo protection » à d’autre infractions.

L’histoire de France reconnaîtra donc en Christian Estrosi le génialissime inventeur de la « vidéo répression automatisée« , de la « vidéo répression» ou de la « vidéo verbalisation», une nouvelle discipline lucrative et pleine d’avenir… et dire qu’on voudrait leur reprocher de ne pas être « modernes ».

Ah il va faire un très bon ministre de l’Internet Christian Estrosi, en tout cas rien qu’à l’entrainement, il pète les scores ! Ça serait dommage de ne civiliser qu’Internet après tout.

La super méga Haute Autorité Indépendante de l’Internet civilisé

propaganda
CC by Fabrice Epelboin

On se doutait bien que qu’avec toutes ces créations d’autorités indépendantes, au bout d’un moment, on allait chercher à les concentrer afin d’en absorber certaines, dans le but d’arriver plus rapidement aux objectifs fixés, en 2007, par l’Elysée. Dans cette jungle nouvelle des autorités administratives indépendantes, il y en a deux assez particulières, la HADOPI (Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet) que l’on présente plus, et l’ARJEL (Autorité de Régulation des Jeux en Ligne) qui a voulu instituer en France le blocage des sites web sans juge. Les deux autorités portent sur des contenus et services en ligne, certains verront donc une certaine cohérence à les unifier en une seule et même autorité indépendante puisqu’il est entendu qu’à terme, elles utiliseront les mêmes armes (outils de reconnaissance de contenus et blocage et filtrage de sites… DPI, BGP, mouchards filtrants, bref tous les outils indispensables pour civiliser Internet). Voir s’unifier HADOPI et ARJEL vous parait impossible, pas à l’ordre du jour ? Dangereux ? Attendez, c’est après qu’on se mange un vrai coup de civilitude

On va bien te civiliser

Et c’est là qu’intervient un bon gros rapport parlementaire relatif aux autorités administratives indépendantes, oeuvre du Comité d’évalution et de contrôle des politiques publiques, porté  par les députés Christian Vanneste (UMP) et René Dosière (PS). Dans ce rapport, les députés concluent à un nombre trop important d’ Autorités Indépendantes. A la page 27, on apprend que ce sont 40 autorités indépendantes qui ont été créées en France depuis l’apparition de la CNIL en 1978, avec une nette accélération des créations de ces autorités administratives la décennie passée avec en moyenne, une création par an.

Bien entendu, ce rapport ne pouvait passer à côté du cas HADOPI. Mais loin d’en venir à mes conclusions déjà alarmistes au sujet d’un rapprochement ARJEL/HADOPI, le rapport préconise carrément un rapprochement entre l’HADOPI, l’ARCEP et le CSA ! Le parfait comité de censure de la République, un seul pour les gouverner tous, les réseaux, les contenus, les servicesT’es bien civilisé là toi l’internaute non ? On commence en page 54 à aborder le problème HADOPI, un rappel de l’épisode constitutionnel, puis page 77 on trouve une perle, dans laquelle les députés s’intérogent sur la justification de l’existence de l’HADOPI :

« Dans ce contexte les rapporteurs s’interrogent sur la justification del’existence de la Haute autorité pour la diffusion des œuvres et la protection desdroits sur Internet (HADOPI). Il s’agit une fois de plus d’une réponse ponctuelle à un problème spécifique. Certes la création d’une nouvelle autorité indépendante chargée de surveiller le respect des droits et de lutter contre le piratage jouit d’une visibilité maximale pour les auteurs. Mais on peut se demander pourquoil’ARCEP, chargée de réguler les communications électroniques, dont fait partiel’Internet, ne pourrait pas en être chargée. A contrario, les difficultés rencontrées par la HADOPI sont patentes : l’envoi des premières lettres d’avertissements a été retardé de semaine en semaine ; un des principaux fournisseurs d’accès, Free, a annoncé publiquement qu’il ne souhaitait pas relayer les messages d’avertissement auprès de ses abonnés… Les rapporteurs sont donc d’avis d’intégrer la HADOPI dans l’autorité qui remplacera à la fois le CSA et l’ARCEP.(…) Les rapporteurs sont donc d’avis d’intégrer la HADOPI dans l’autorité qui remplacera à la fois le CSA et l’ARCEP ».  La date du passage à la TNT est même envisagée le 30 novembre 2011.

Ce rapport ne semble pourtant pas animé de mauvaises intentions, il invite même à un rapprochement de cette super méga haute autorité super indépendante à travailler de concert avec l’association le Forum des Droits de l’Internet, c’est bien tenté mais cette dernière semble appelée à mourir très prochainement. Mais les deux rapporteurs sont  à mon sens loin de se douter du monstre mutant à 4 têtes qu’ils sont en train de fabriquer. Pire, cette conclusion pourrait être très exactement ce qu’attendait l’Elysée, souvenez vous par exemple de Frédéric Lefèbvre en train de plaider pour confier Internet au CSA, CSA que l’on retrouvait par exemple au colloque de l’ARCEP sur la neutralité des réseaux… la labellisation des sites web, ça ne vous rappelle rien ? Pourtant on en avait parlé pour HADOPI… Même Christine était d’accord… et ça remonte à 2008 ! Votre site sera labellisé par l’Etat, avec une cocarde « presse », « culture », « blog d’emmerdeur »… sympa non ? Je vous sens tout civilisés là…

L’erreur de cette proposition se situe vraiment au niveau de ce que le législateur, sous pression de l’Elysée, a voté sans aucun moment se rendre compte de ce qu’il avait engendré. Jamais le spectre d’un big brother sur le Net français n’aura autant planné. Tout est en place, tous les outils de la censure sont là, unifier tout ce petit monde, leurs armes, et leur champs d’applications (services, réseaux, contenus), c’est créer quelque chose de dangereux et de… suspect. Je n’ai pas la compétence de juger pour les cas des autres autorités administratives, du bien fondé de démarches de rapprochements, mais sur le volet Internet, je ne saurais trop mettre en garde messieurs Vanneste et Dosière sur une fausse bonne nouvelle idée, qui serait de confier Internet, qui n’a toujours pas de ministère, à un monstre contre nature disposant du corpus législatif (HADOPI, LOPPSI, ARJEL, DADVSI …) et des outils (blocage/filtrage des sites, labellisation, spectre du mouchard, contravention pour négligence caractérisée,  double/triple peine, … ).

Il est beau votre Internet civilisé… mais tout ceci est bien trop administratif et pseudo indépendant pour qu’Internet reste un réseau neutre et ouvert.

DPI over SSL, pour un Internet vachement plus civilisé

SonicWall NSA E7500 DPI SSL
SonicWall NSA E7500

Alors que des rumeurs de bridage, déjà en place, du moins en expérimentation chez certains fournisseurs d’accès font leur chemin, les internautes cherchent logiquement une parade et plus globalement des solutions contournement de toute cette faune nouvelle de la surveillance. Parmi les solutions les plus extrêmes que les ayants-droit aimeraient mettre en place pour « dépoluer » Internet, il y l’inspection en profondeur de paquets. Les VPN peuvent paraître une réponse séduisante au DPI, car l’usage d’une technologie de reconnaissance de contenu serait soit disant inopérante sur des flux chiffrés. Et bien j’en doute.

Il faut d’abord que nous soyons d’accord sur le périmètre du DPI pour comprendre de quoi on parle. Le Deep Packet Inspection est une technique faisant appel à plusieurs outils. Ces outils analysent des flux réseaux aussi bien que les paquets eux mêmes. On demande ensuite à une puissance de calcul d’exécuter des actions de routage, de drop, de trafic shaping, de QoS, sur des flux, en fonction de règles prédéterminées. Si on lui dit de faire quelque chose de débile, il fera quelque chose débile, il s’agit d’une loi cybernétique. Et à votre avis, comment réagit une IA quand on lui demande « drop moi tous les paquets illégaux ? »…. Et bien la machine vous demandera de définir le terme qu’elle ne comprend pas, le terme « illégal ». Même sans avoir à casser un chiffrement à la volée, de la simple reconnaissance de signatures, du marquage de paquets, une règle basée sur la taille… et hop, même votre DivX a du mal à passer d’un point à un autre du réseau. Il faut bien comprendre que ces règles ne s’appliquent donc pas simplement à un paquet, mais peuvent l’être à un flux réseau (le paquet et son contexte), à un protocole (bridage d’un port)…

Il y a deux points dérangeants dans cet usage du DPI :

1° les règles de filtrage qui entrainent une altération du réseau alors que celui-ci n’est physiquement pas menacé est une atteinte à sa neutralité ;

2° l’usage d’une technologie de reconnaissance de contenu c’est l’utilisation d’outils particulièrement intrusifs car détournés de leur vocation initiale.

Dans cet effort fait pour « civiliser notre Internet« , des constructeurs, qui ont senti le bon filon, annoncent des solutions d’inspection de paquets et de reconnaissance de contenus, même dans des flux chiffrés.

C’est le cas de LOPPHOLD en juin dernier qui avec son nouveau SONIC OS 5.6, annonçait capable de réaliser une inspection de paquets sur un flux chiffré en SSL.

« SonicOS 5.6 introduces SonicWALL’s new DPI-SSL feature, which does not rely on a proxy configuration on the end points to provide optimised protection against today’s encrypted threats and to enforce corporate data policies. The technology can inspect inside all SSL sessions across all ports, independently of the protocol, resulting in both encrypted and decrypted data being scanned, monitored and protected. »

Sincèrement, je ne sais trop quoi penser de cette déclaration très marketing mais techniquement, une intégration poussée de SSLSniff est loin d’être délirante. Il me semble cependant que la gamme SonicWall n’est pas adaptée à une écoute en coeur de réseau (son débit de traitement doit-être relativement limité, le haut de gamme, le E7500 annonce 8000 connexions chiffrées simultanées). Vous pouvez télécharger un PDF assez explicatif ici.

De là à se demander s’il n’existe pas des équipement de classe ISP, il n’y a qu’un pas. D’un point de vue puissance de calcul, le cassage à la volée n’est peut-être pas à l’ordre du jour, mais avec les nouvelles gammes d’équipements promises par certains équipementiers ça risque d’arriver plus tôt que prévu.

Microsoft abandonne (pas encore) Silverlight au bénéfice d’HTML5

Est-ce un signe des temps ?

Microsoft a longtemps été fustigé pour ses implémentations ésotériques de certains  standards avec son navigateur Internet Explorer. Le navigateur web de Microsoft reste encore à ce jour la bête noire de tous les intégrateurs graphiques qui essayent de travailler proprement…  Et voila qu’on apprend que Microsoft serait sur le point d’abandonner sa technologie Silverlight, qui se voulait concurrente de Flash (ex Macromédia et maintenant détenue par Adobe).

Silverlight avait la particularité d’être Open Source et d’offrir une alternative pour l’embed de vidéo par exemple. Certaines chaines publiques françaises se sont laissées séduire par ce discours d’ouverture et sont passées à Silverlight dont le support reste plus qu’expérimental sur certains nagivateurs et sur certaines plateformes. Espérons qu’elles suivront l’exemple de Microsoft et migreront rapidement vers HTML5.

Daté d’hier sur Gigaom, un billet apporte la confirmation que Microsoft tend à délaisser cette technologie.

Bob Muglia, président de Microsoft en charge de la branche serveur et outils, a déclaré à ZDNet que Microsoft quittait peu à peu Silverlight au profit d’HTML5. C’est par exemple Bing, le moteur de recherche de Microsoft, qui devrait bénéficier rapidement d’HTML5, et les streams vidéos pour XBox qui devraient bénéficier d’HTML5 et du codec video H.264.

De nombreux analystes avaient pointé du doigt l’arrivée tardive du projet Silverlight, Flash s’était installé depuis des années et était devenu un standard de fait, vieillissant mais avec un taux de pénétration imbattable. Parallèlement, le tandem HTML5/CSS3 montrait son nouveau visage et terminait de convaincre tous les développeurs web, l’avenir est bien là.

C’est donc une bonne nouvelle que de voir Microsoft abandonner une certaine forme de logique au profit de standards, les internautes ont beaucoup à y gagner en terme d’accessibilité. On ne peut donc que saluer ce choix courageux.

Merci @Fano pour le link 😉

EDIT : Attention ceci ne signifie pas un abandon du support commercial pour cette technologie mais de choix marqués d’équipes de développement pour les applicatifs web.

REDIT : Dans mon empressement à vouloir enterrer Silverlight je n’avais pas compris qu’il s’agissait plus d’un changement de stratégie marquée pour son produit Silverlight, un nouveau positionnement, mais non un abandon. Voir ce billet de la team SIlverlight qui explique ses nouveaux objectifs.


SCADA sous les balles

SCADA
SCADA

On a encore récemment parlé de SCADA à l’occasion de la propagation du ver Stuxnet qui visait des systèmes SCADA Siemens. Sa cible et ses auteurs présumés, comme son fonctionnement, ont été largement commentés et ceci est du à la nature des équipements sur lesquels les systèmes SCADA opèrent. L’une des 4 vulnérabilités inconnue jusqu’à Stuxnet, et qui affectait Windows, a tout juste été fixée. Stuxnet par son aspect ultra élaboré est soupçonné d’être l’oeuvre d’une agence gouvernementale dans le but de mettre à mal une centrale nucléaire iranienne. Nous n’aurons probablement jamais le fin mot de l’affaire mais ceci a peut être été l’occasion pour certains d’aller jeter un oeil sur la sécurité de ces systèmes dédiés au monitoring et à l’acquisition de données d’équipements industriels ou de génie civil, divers et variés.

Daté d’hier, un exploit révèle un buffer overflow dans les systèmes SCADA Realflex de DATAC Realwin.

Ce qui se passe aujourd’hui, en dehors du mystère Stuxnet, résulte de dizaines d’années de mauvaises pratiques sécuritaires chez quelques éditeurs et dans le secteur de l’informatique industrielle. La situation est toutefois assez inquiétante et tous les pays concernés devraient méditer un audit sans concession de ces infrastructures, ne serait-ce, que pour évaluer le risque, souvent amoindri au prétexte que ces équipements sont rarement interconnectés.

Si certains systèmes ne présentent que peu de risques, des systèmes dédiés à des sites bien identifiés comme à risque (ponts, tunnels, lignes de transport ferroviaire, installations nucléaires…) devraient faire l’objet d’attentions nouvelles.

Sans céder à la paranoia, il serait bienvenu, même au niveau français et c’est pas Ossama qui me contredira, de prendre la mesure exacte des risques de scénarios noirs sur ces systèmes et essayer de comprendre si nous y sommes préparés.

PHSF 2010 : Plastic Hacker Space Festival 2010

Reprap by Lauren Van Niekerk Mendel

Le weekend prochain, du 29 au 31 Octobre 2010, le /tmp/lab vous convie au Plastic Hacker Space Festival, temple français de la culture DIY où ça cause de tout pour tout fabriquer.

Usinette, Fablab, RepRap, transidentités et transpalettes : l’univers du D.I.Y croise, pour cette nouvelle édition trans-disciplinaire, les univers variés de l’autogestion, de la post-pornographie et des séxualités plurielles, des questions de genre, de l’architecture, de l’environnement,…, et sème le trouble au cœur de nos habitudes en reposant la question de nos désirs.
Plastique, électronique et chair pour fabriquer presque tout : enfin tous les moyens de réaliser ses envies et de construire un monde à son image.
Il n’est plus question de se demander “de quoi demain sera fait?” mais “comment veut-on faire demain?”.
Où ?

phsf

La neutralité du Net au Sénat

Office de Minitellisation du Web Français
Office de Minitellisation du Web Français

Il se tenait hier une table ronde sur la neutralité du Net au Sénat. Le débat, qui pouvait  être suivi depuis le site du Sénat en Streaming, il était composé de 2 tables rondes :

  • une sur la neutralité des réseaux
  • une autre sur la neutralité des contenus

… ça laissait augurer des choses assez agaçantes relatives aux contenus, ça n’a pas manqué. Nous étions restés sur la consultation de l’ARCEP (voir les vidéos) où le secrétariat d’Etat à l’Economie Numérique concluait à une quasi neutralité et posait la question de la liberté d’accès aux contenus légaux. Un mot lourd de sens qui ouvre la boite de Pandorre, à savoir l’utilisation de technologies d’inspection de paquets en profondeur (Deep Packet Inspection) afin de faire de la reconnaissance de contenus pour « dépolluer Internet » comme certains aiment à le décrire.

La première table ronde sur la neutralité des contenus était comme à prévoir une franche rigolade. Jérémiades habituelles, le réseau est saturé, on va tous mourir, la création en premier… vous connaissez la suite, je me suis demandé à quel moment ils allaient demander la mise en place d’une vignette IPV4 pour dédommager l’industrie du disque du nombre d’iPod vendus dans le monde et qui ont tué les CD. Ce n’est qu’en conclusion de cette table ronde, que le mot de filtrage est lancé. Le terme à retenir, pas de nouveauté, c’est les contenus « légaux ».

La seconde table ronde, tout de suite plus sérieuse avec les représentants de l’INRIA ou de l’UFC Que Choisir, était tout de suite d’un tout autre tenant. Bernard Benhamou a fait quelques rappels assez bienvenus sur la nature du réseau Internet, pareil du côté de l’INRIA, et Edouard Barreiro de l’UFC Que Choisir a, comme on s’y attendait tenu un discours limpide sur les dangers du filtrage et les dangers d’un Internet à 2 vitesses, celui du riche et celui du pauvre, insistant lui même sur la fin (ironiquement?) sur la notion de contenus « légaux ».

Nathalie Kosciusko-Morizet est venue conclure et j’ai cru déceler dans ses conclusions quelque chose d’assez différent de ce qui en était sorti à l’ARCEP. Il semble que beaucoup de choses aient évoluées depuis le colloque de l’ARCEP et on nous a épargné le coup de l’Internet Quasi Neutre (et par définition, quasi pas neutre). NKM a par exemple fait remarquer fort justement que la thématique dissociant les contenus du réseau n’était peut-être pas une bonne approche et que si le réseau est neutre, alors on a même plus besoin de se demander si les contenus le sont. J’abonde personnellement en ce sens puisque déployer des technologies de reconnaissance de contenus c’est, par définition, rendre le réseau non neutre (en opposant une intelligence, restreint le routage des paquets, en y posant un critère qui n’impacte pas sur son propre bon fonctionnement mais sert des demandes de tiers).

Attention, ne nous enflammons pas, le filtrage reste au programme, les technologies de reconnaissance de contenus  sont toujours autant portées par les ayants-droit et avec le nouveau petit cadeau à 25 patates, on se dit que ça finance largement le déploiement du DPI en coeur de réseau, que dans un excès de cynisme, ayants-droit et fournisseurs d’accès Internet vendraient sur abonnement pour contourner les problèmes de viol de correspondance qui demeurent un sérieux obstacle à sa généralisation.

Si légiférer sur la question  de la neutralité du Net et sur les outils de reconnaissance de contenus par extension peut sembler séduisant pour Nathalie Kosciusko-Morizet qui l’a même proposé aux commissions., il me semble surtout vital de ne pas se voir mettre en place des technologies que l’on détournerai pour servir des intérêts privés. Nous avons surtout besoin d’acteurs forts.

Start-VPN.com : spamming as a full time job

A la lecture du billet d’Arkados, je suis allé faire un petit tour dans les commentaires de mon blog à la recherche de l’IP du spammeur casse bonbon de Start-VPN qui pollue de manière quasi systématique tout billet en rapport de près ou de loin avec HADOPI (mais pas que…)

Vu que j’en avais supprimé pas mal, il n’en reste plus beaucoup, 6 avaient échappé à ma vigilence (et j’ai systématiquement pris soin de virer à chaque fois l’url de son site).

Notre ami Romaric, George, Émilien, Boris100… peu importe son pseudo est un véritable professionnel, non pas de l’anonymat, on s’en serait douté, mais du spam.

Visiblement assez doué pour arriver à faire parler de son site start-vpn.com par quelques sites importants, il semble avoir réussi à en duper plus d’un, comme par exemple Presse Citron,  Capital, j’en passe et des meilleurs.

La suite en image…

Vous constaterez que c’est bien la même adresse IP (une Freebox) qui vient nous les hacher menu avec son VPN alors que lui même ne semble pas foutu d’utiliser ce qu’il essaye de nous vendre. Je confirme donc parfaitement ce que nous explique Arkados. La méthode est d’ailleurs franchement risible :

Notez que notre spammeur  ne recule vraiment devant aucune opportunité, c’est un spammer polyglotte (qui ne comprend pas l’anglais de son propre frère) que même le coréen ne semble pas rebuter.

Toujours pas convaincus ? Et bien il suffit pourtant d’aller jeter un oeil là dessus pour comprendre à quel point notre spammeur n’en loupe pas une pour faire du backlink. C’est visiblement pour lui un job à plein temps, devenu encore plus rentable depuis le vote d’HADOPI.

Et que feriez vous si …

Allez, fermez les yeux et imaginez le pire. Imaginez un instant que votre fournisseur d’accès ait placé à votre insu, un mouchard dans votre box. Ce mouchard pourrait par exemple servir à écouter vos conversation, il serait activable à distance de manière totalement transparente pour votre utilisation quotidienne… Que feriez vous ?

Ne flippez pas tout de suite, c’est juste un petit sondage comme ça pour prendre la température. Et du coup ça me permet de faire un peu de pub pour l’excellent service de 123votez 😉

sondage