Pour Besson Wikileaks est un site criminel

Julian Assange
Julian Assange

Eric Besson était sur Europe 1 ce matin. Pénible comme intervention. Vous pouvez l’écouter ici, ça commence vers 14’30 ». Toute la pénibilité de l’homme qui sait qu’il fait le choix de s’engager sur une pente glissante mais qui est obligé de passer par là s’il veut être entendu dans tout ce bruit. Et bien  tout ça ne sent franchement pas bon à la veille de la seconde lecture de LOPPSI 2, les intérêts du ministre de l’industrie qu’il est (et il le rappelle, Internet est une industrie), convergent avec ceux de certains fournisseurs d’accès, des équipementiers, et convergent également avec l’orientation sécuritaire de la politique actuelle du gouvernement. L’affaire Wikileaks devrait donc naturellement s’inviter dans les débats de l’Hémicycle et j’ai bien peur que l’on ne se mette à reparler de technologies de reconnaissance de contenu ou encore plus stupide, comme un gros bouton rouge pour couper l’Internet.

Besson un avant-goût de cleanternet

J’ai été soufflé de l’aplomb avec lequel Eric Besson, s’est substitué à un juge français et américain en même temps pour décréter Wikileaks comme une organisation criminelle. Notre ministre fait des raccourcis un peu rapides : il part du principe admis que Wikileaks est un site criminel parce qu’il a volé des documents, première erreur, Wikileaks n’a rien volé, il a diffusé des documents supposés volés. Quand on lui demande pourquoi il n’attaque pas le quotidien le Monde, Eric Besson n’en ramène d’ailleurs franchement pas large. Eric Besson lâche ensuite une position bien tranchée sur le rôle de l’État dans le cadre de la censure d’un site web : « l’Etat a son mot à dire ». Le ministre se lance après dans une définition de ‘l’Internet libertaire’ pour lui, c’est l’Internet des pédophiles et des terroristes. Peu de doutes, Monsieur Besson a bien envie de nettoyer ton Internet, il a décidé que l’État devait se prononcer sur la légalité des contenus sur Internet et qu’il est à même de juger un homme, quitte à se soustraire à la justice… américaine.

Le Cablegate aura un effet positif, les véritables intentions des uns et des autres en matière de filtrage vont pouvoir librement s’exprimer et on verra qui défend quelle position. On devrait donc vite voir assez clair dans le jeux de personnes qui ont tout intérêt à tenter de filtrer Internet. Grâce au Cablegate, on aura au moins appris qu’Éric Besson se fout bien qu’un juge ait à se prononcer sur la légalité d’un site web ou pas, le shériff, c’est lui.

Mise en cause de la vie d’autrui

Eric Besson condamne de fait Wikileaks en retenant un chef d’inculpation que même les lawyers de la Maison Blanche n’ont pas retenu pour poursuivre Wikileaks (en tout cas ça leur semble bien moins évident que pour monsieur Besson), d’ailleurs le site ne fait pas à ma connaissance l’objet de poursuite directe, c’est Julian Assange que l’on poursuite pour un un très supposé crime sexuel… et on va voir la tronche du crime.

Le mandat d’arrêt international contre Julian Assange, cette red notice Interpol ne parle même pas de viol, d’agression sexuelle; juste un « sex crime » qui fait référence à un « rapport sexuel non protégé« …. pas une agression, pas un viol, pas une mise en danger de la vie d’autrui (ou alors leur astuce juridique est là mais ils auraient pas oser quand même.. c’est un peu grossier)… c’est un homme, l’homme le plus recherché du monde… que l’on recherche officiellement dans le monde entier pour ne pas avoir mis de capote !

Pourtant, Eric Besson invoque lui une mise en danger de la vie d’autrui et soutient que l’État américain a porté plainte pour des activités criminelles.

Et bien montrez nous un indice de cette plainte, car la red notice elle, elle n’en parle pas.

Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ?

Anonymat sur le Net
Anonymat sur le Net

L’anonymat sur le Net est quelque chose de bien trop sérieux pour laisser une place au hasard. Dans certain pays, il est le garant de la liberté de certaines personnes (journalistes, opposants politiques…), pour certaines personnes, une erreur et leur vie peut être mise en danger. Dans le premier billet de cette petite série, nous avons fait la différence entre la protection du contenu et du contexte. Nous avons vu que la protection des contenus passait par le chiffrement des données et que la protection du contexte, bien plus complexe, nécessitait un ensemble de mesures adaptées à des problématiques variées et qu’il existait une forte interdépendance entre ces mesures. Ce que l’on souhaite quand on parle d’anonymat, c’est bien évidemment une solution capable de protéger tant le contenu que le contexte.
Nous allons nous pencher maintenant sur quelques solutions d’’anonymat communément utilisées et tenter de comprendre ce qu’elles protègent exactement.

  • Utiliser le wifi du voisin : sachez dans un premier temps que ceci est parfaitement illégal, à moins que vous n’ayez expressément été invité à le faire. Sinon ça porte un nom : intrusion et maintien dans un système de traitement automatisé de données, auquel la LOPPSI devrait même venir ajouter une usurpation d’identité, et ça coûte relativement cher, à savoir de deux ans d’emprisonnement et de 30000 euros d’amende (Loi Godfrain amendée par la Loi dans la Confiance en l’Economie Numérique dont le petit nom est LCEN), et 3 ans et 45000 euros d’amende en cas de modification ou destruction de données. Dans le cas de l’utilisation de la connexion wifi d’un tiers, l’anonymat est loin d’être garanti. L’administrateur du réseau local peut très bien intercepter vos données directement sur son LAN et ce type d’intrusion est facilement détectable (tien une ip en plus sur le réseau)… Si en plus vous faites tout passer en clair, vous avez intérêt à faire extrêmement confiance en la bienveillance ou l’ignorance de votre victime… au fait vous êtes bien sur que le réseau wifi utilisé n’est pas tout simplement un honeypot uniquement destiné à intercepter vos données personnelles ? Bref vous l’aurez compris, cette solution n’en est pas une, en outre elle protège une partie du contexte, mais surement pas le contenu.
  • Les serveurs proxy : un serveur proxy permet de masquer son IP pour une utilisation donnée correspondant au port utilisé par une communication. On trouve aisément des proxy pour les usages les plus fréquents (navigation web, transferts de fichiers…). Les proxy ne sont pas une solution satisfaisante pour l’anonymat, il ne protègent qu’une toute petite partie du contexte. Il est impératif d’utiliser SSL pour protéger le contenu de la communication et la protection du contexte peut également être améliorée en utilisant plusieurs proxy en chaîne (proxy chain). Attention, la contrepartie, c’est que chaque proxy est également un maillon faible puisqu’il peut loguer les connexions. Les proxy sont cependant un terme très générique et il convient de porter son choix sur les proxy anonymes qui ne loguent pas les communications et ne révèlent pas votre adresse ip à tous vents (attention, toujours dans le cadre d’une communication sur un port donné). On distinguera également les proxy SOCKS et CGI (généralement une page web avec une barre d’adresse dans laquelle on place l’url que l’on souhaite visiter discrètement), d’une manière générale les proxy SOCKS sont plus difficilement identifiables par le site cible que les CGI. Attention enfin aux proxy open socks, il s’agit en fait souvent de machines compromises par des hackers qui peuvent prendre un malin plaisir à intercepter vos données. Les proxy payants peuvent donc êtres considérés comme plus fiables. Les proxy ne gèrent pas correctement la protection du contexte, la protection du contenue, si elle est assurée par SSL peut également être faillible par Man in the Middle.
  • Le chaînage de proxy : une méthode également assez répandue mais qui a pour effet de ralentir les surfs, est de passer par plusieurs serveurs proxy. Là encore ce n’est pas parce qu’on utilise 3 ou 4 proxy de suite que l’on peut se considérer comme réellement anonyme. Ces proxy doivent être anonymes, ne pas loguer les connexions et ceci ne dispense absolument pas de chiffrer les contenus, l’utilisation de SSL n’est pas une option, mais là encore, certains vous diront à raison que SSL c’est bien … mais… Les protocoles plus exotiques apporteront donc une sécurité accrue mais seront évidemment plus difficiles à mettre en place ou à utiliser. C’est ce genre de solution, couplé à des règles drastiques sur les noeuds qui composent son réseau, que repose la solution JonDonym (JAP) : géographiquement distribués, préalablement audité, opérateurs de noeuds conventionnés, JonDonym est une solution de proxychain assez évoluée qui tend à protéger le contexte de manière quasi satisfaisante pour peu que l’utilisateur observe quelques bonnes pratiques complémentaires (comme utiliser pour surfer une machine virtuelle sous OpenBSD avec une redirection du serveur X sur SSH, la désactivation ds cookies ou de toutes les extensions de navigateur dangereuses dont nous allons parler un peu plus loin…).  Attention cependant JonDonym se traîne une réputation sulfureuse, et des rumeurs de backdoors ont couru. La police allemande se serait intéressée de près à ce réseau.
  • Les VPN : Un VPN est un réseau privé virtuel. On le dit virtuel car il n’y a pas de ligne physique dédiées qui relie les nœuds. On le dit également privé parce qu’il utilise le chiffrement. Les VPN utilisent un chiffrement fort entre les nœuds pour accentuer la protection du contenu (on ne se contente pas de faire confiance aux noeuds). Une des principales différences entre un proxy et un VPN est que le proxy opère sur la couche applicative du modèle OSI, alors que le VPN opère sur la couche réseau. Le VPN est donc naturellement plus résistant à des fuites d’adresses IP. En clair, un proxy anonymise une application (un client mail, un navigateur…), un VPN, lui, tend à anonymiser le trafic d’un OS, c’est à dire l’ensemble de ses applications en opérant sur la couche réseau permettant à ces applications de communiquer. Usuellement les services VPN utilisent des noeuds dans des juridictions offshore mais ceci ne suffit pas. En outre, les vertus anonymisantes des VPN ont largement été survendues, d’ailleurs, il n’est pas rare que certains (mêmes gros) acteurs qui prétendent ne pas loguer les connexion, en pratique, les loguent. Autant vous le dire tout de suite, les providers américains loguent, ils en ont la quasi obligation(Patriot Act).
  • Tor : Tor est une solution d’anonymat basée sur le concept d’onion routing (routage en oignon), il implique un chiffrement des données préalable qui, passant de noeud en noeud se voit cryptographiquement dénudé d’une couche, d’où son nom. Le concept d’onion routing a initialement été développé par l’US Navy et Tor est son implémentation la plus connue. Tor est un réseau semi-centralisé qui se compose d’un programme et d’un réseau d’environ 200 noeuds. Un utilisateur peut utiliser le réseau passivement ou choisir de relayer le trafic d’autres utilisateurs. Les communications passent par trois noeuds avant d’atteindre un noeud de sortie. Les routes des noeuds sont chiffrées, ainsi que le contenu. Chaque nœud enlève une couche de chiffrement avant de transmettre les communications. Contrairement à SSL, Tor est connu pour être résistant à des attaques par Man in the Middle en raison d’un chiffrement sur 80 bits (pas énorme mais suffisant) de l’authentification post communication. Nous reviendront dans le prochain billet sur Tor, ses vulnérabilités, ainsi que sur Freenet et I2P. Nous verront pour ces solutions que le contexte est faillible.
Les maillons faibles

Ce qui va suivre est loin d’être exhaustif, ces quelques éléments ne sont là que pour vous guider un peu mieux sur les bonnes solutions et les bonnes pratiques, en fonction du niveau de protection de vos données personnelles recherché. Il y a dont une bonne et une mauvaise nouvelle (nous creuserons plus tard la mauvaise). On commence par la mauvaise la quasi intégralité des solutions sont plus ou moins vulnérables aux éléments de protection de contexte ci-dessous. La bonne est que ce n’est pas innéluctable et que vous connaissez très bien votre pire ennemi, c’est à dire vous même.

  1. Les plugins de navigateurs bavards : Le premier maillon faible, c’est votre navigateur web et d’une manière générale toutes les applications qui se connectent à l’internet. Si sur la route, les protocoles de chiffrement peuvent vous protéger, vous n’êtres pas du tout à abri d’un plugin de navigateur trop bavard. Au hit parade de ces extensions, Acrobat Reader, Windows Media, QuickTime, et Flash.
  2. Les réseaux trop sociaux et les identifications un peu trop fédératrices : L’identification sur un site web, particulièrement quand il s’agit d’un super réseau social tout de javascript vêtu avec de supers API faites dans le but louable de rapprocher des personnes qui ne se connaissent pas et exportables sous forme de widgets sur des sites web tiers… toutes ressemblance avec un certain Facebook est purement pas du tout fortuite… est un danger énorme pour vos données personnelles. Il est même particulièrement simple de révéler votre véritable adresse IP en exploitant l’API du dit réseau social. La règle de base est donc de ne jamais s’identifier sur plus d’un site à la fois… finit les 57 onglets dans votre fenêtre de navigateur si vous voulez la paix, il faut être avant tout méthodique : une machine virtuelle = une authentification sur le Net. Au dessus, vous vous exposez de fait à un vol de session.
  3. Les mauvaises implémentations logicielles : Un mécanisme de sécurité, comme un algorithme de chiffrement, peut être compromis, ou plutôt contourné, suite à une mauvaise implémentation. Là encore c’est dramatiquement banal, on a par exemple tous encore tête la réintroduction d’une faiblesse d’implémentation du mécanisme de génération des clef WPA des BBox, les box du fournisseur d’accès Internet Bouygues. Attention, les mauvaises pratiques de développement ne touchent pas que des clients lourds, elles touchent aussi des sites web… oui même des gros sites très célèbres… surtout des gros sites très célèbres. Ainsi, un XSS bien placé et c’est le vol de session. Un simple cookie est susceptible de dévoiler votre véritable identité. Dans le monde de la sécurité les cookies ont deux fonctions : être mangés ou être supprimés (non acceptés c’est encore mieux).
  4. L’interface chaise / clavier : Si vous ne voyez pas de quoi je parle, il s’agit tout simplement de l’utilisateur lui même. Le vrai problème est qu’aujourd’hui, non seulement tout est fait dans les systèmes d’exploitation moderne pour vous masquer le plus posssible les couches complexes (combien de personnes ici savent comment fonctionnent une pile TCP/IP), mais tout ces marchands de sécurité, FAI en tête exploitent votre méconnaissance du réseau et s’en font un business particulièrement lucratif. Avec HADOPI, tout ce petit monde a une occasion rêvé pour vous vendre des solutions tantôt de sécurisation, tantôt de contournement. Le résultat est le même et la démarche est toute aussi sujette à réflexion.
  5. Le contenu cible : En fonction de votre solution d’anonymat, les sites que vous visitez peuvent eux aussi représenter une menace, il n’est pas rare que certains sites, eux mêmes victimes de failles distribuent du malware et compromettent la sécurité des données personnelles de leur visiteurs. D’autres encore, spécialement destinés à piéger les visiteurs, n’hésiteront par exemple pas à doter un formulaire de contact ou d’inscription d’une fonction de keylogin (une pratique pas courante mais existante sur certains sites de warez et destinée à dépouiller les visiteurs qui auraient la mauvaise idée d’utiliser pour ces sites les mêmes mots de passe qu’ils utilisent pour leur compte Paypal ou leur messagerie).

Dans le troisième et prochain billet de cette série, nous aborderons plus en détail les attaques possibles sur les solutions d’anonymat. Le billet sera donc un peu plus technique que celui-ci.

Anonymat – Acte 1 : VPN et HADOPI… et vous vous pensez anonymes ?

Ce billet est le premier d’une petite série sur le thème de l’anonymat, des VPNs, et par extension, des attaques possibles. Pour un plus grand confort de lecture, ce qui ne devait faire qu’un seul billet va du coup en faire plusieurs, ils auront un caractère plus ou moins technique. Le premier est une (longue) introduction aux bases de l’anonymisation IP… bonne lecture.

/Greetz wizasys /-)

Fallait pas me chercher…

VPN par ci, VPN, par là, je commence à être blasé d’entendre ce mot utilisé n’importe comment et à toutes les sauces, et surtout d’entendre tellement de contre-vérités sur leurs vertus « anonymisantes ». Comme promis, voici quelques réflexions sur les VPNs, motivées par une recrudescence de spams sur ce blog liés à l’exploitation du bruit autour d’HADOPI. Si certains, plutôt courtois me proposent d’essayer leurs solutions, d’autres viennent carrément pourrir systématiquement tous les billets où ils décellent le mot « HADOPI » pour venir coller un lien sur leur site web qui prétend vendre de la sécurité à 5 euros par mois. Mais le plus dérangeant dans tout ça, c’est surtout les idées fausses qui sont véhiculées sur de nombreux sites ou wikis, et tendant à dire qu’un VPN est l’arme absolue pour vous mettre à l’abri de l’inspection en profondeur de paquets (DPI) et préserver votre anonymat.

Qu’est ce qu’un VPN ?

Un réseau privé virtuel ou VPN est un tunnel chiffré dans lequel on fait passer ses communications dans le but de les sécuriser. Ainsi, on entend contrôler les routes empruntées par les informations afin d’éviter la captation par des tiers non autorisés.

Si les VPNs sont pour l’instant une réponse très relativement efficace pour passer sous les radars de Trident Media Guard (je dis bien pour l’instant car sur certains protocoles de P2P, ça risque de ne pas durer, et pour le reste…), ils ne sont pas la panacée, et ne suffisent pas à garantir votre anonymat. Que ce soit sur les réseaux P2P ou sur de simples sites web, il existe, même derrière un VPN, plusieurs techniques permettant de révéler votre véritable adresse IP. Les pièges sont nombreux, ils émanent autant des sites que vous visitez que de votre propre fait, il est donc primordial d’en avoir conscience.

Les racines du mal

En pondant un texte aussi peu inspiré qu’HADOPI, notre bon législateur s’est involontairement exposé à une menace bien réelle dont on peut observer quelques effets indésirables dans d’autres pays. De nombreuses sociétés se sont engouffrées dans ce nouveau marché de la surveillance de masse et du contrôle généralisé, d’autres tentent d’y apporter des parades. Notre Ministre de l’industrie a de quoi se frotter les mains, il va ici voir emerger un nouveau pan de l’économie hexagonale, bien nauséabond, celui de la course à l’armement numérique. Sur Internet comme dans la vraie vie, les marchands de canons peuvent être des personnes très sympathiques, c’est de la protection qu’ils vous vendent sur le papier, mais la mort reste leur fond de commerce. Fabrice Epelboin en parlait très bien dans sa publication sur les révélations d’un CTO de réseau pédopornographique, ses prémonitions sont en train de se concrétiser. Jusque là, les gens qui avaient besoin d’assurer leur parfait anonymat étaient soit des professionnels dont la confidentialité des échanges est nécessaire de par la nature de leurs fonctions, soit des gens dont la nature illicite et criminogène des activités nécessitaient d’éviter de se faire pincer. En ramenant le besoin d’anonymat à des comportements d’ordre délictuels du type téléchargement de MP3 copyrightés, il ne faut pas s’étonner de voir certains réseaux mafieux se frotter les mains en se disant qu’ils vont pouvoir s’attaquer à des marchés plus grands publics. Leurs infrastructures sont là, elles n’attendent plus que les bons gogos… et ces gogos, c’est nous tous !

Ceci est très dérangeant et paradoxal car l’anonymat et la vie privée (ou la protection de la confidentialité) est un besoin légitime, la sécurisation des échanges l’est aussi. Les démarches administratives (impôts, URSSAF…), les opérations bancaires ou financières(…) nécessitent des échanges sécurisés.

On peut donc remercier nos élus d’avoir fait pour l’Internet ce choix de société, souvent par manque de courage politique, quelques fois par e-gnorance, mais aussi et surtout par jemenfoutisme. Vous trouvez que j’y vais un peu fort ? Dans ce cas, respirez un grand coup avant de lire la suite car je n’ai pas terminé… l’échauffement.

Internet est un réseau public

Internet n’a pas été pensé pour l’anonymat ou la vie privée, il s’agit d’un réseau public, les informations de routage sont donc publiques et les données ne sont à l’origine pas chiffrées. Internet permet naturellement le chiffrement mais ce dernier ne cache pas l’identité de l’émetteur ni du destinataire (le chiffrement cache le payload mais pas les informations de routage ni les métadonnées).

L’Internet est constitué d’AS (systèmes autonomes) qui appartiennent à des fournisseurs d’accès, les AS communiquent via des IX (Internet Exchange). C’est dans les AS (je n’ose imaginer que des ayants-droit ou des officines privées accèdent un jour aux IX) que des personnes qui veulent vous « sécuriser » iront, si on les laisse faire, placer leurs dispositifs d’écoute… tout simplement car c’est là que passent le plus de communications. Ce ne sera pas un problème pour Orange ou SFR (qui utilisent déjà le Deep Packet Inspection pour détecter les DDoS, Spam, Botnets et autres attaques virales) que de faire directement de l’écoute sur leur AS, en revanche sur les IX, d’autres FAI pourraient voir ça d’un très mauvais oeil. Mais aux USA, il est par exemple admis que la NSA puisse réaliser ses écoutes directement au niveau des IX. En France, on imagine bien que la DGSE puisse pratiquer elle aussi de telles captations sur un IX, mais Jean-Marc Manach vous en parlerait sûrement mieux que moi.

Toujours est-il que les FAI (beaucoup) conservent les logs au niveau des AS et sont en mesure de vous dire qui a communiqué avec qui à une date donnée. Je suis un peu plus circonspect concernant la production et la rétention des logs sur les IX, c’est un sujet que je ne maîtrise pas spécialement, mais selon les politiques de surveillance des agences gouvernementales de certains pays, certains IX font l’objet d’une capture de l’intégralité du trafic. A contrario, en Russie par exemple, où il existe peu d’IX, tout est extrêmement surveillé.

Les bases de l’anonymat

Je n’ai certes pas la prétention de donner un cours exhaustif sur l’anonymat mais ayant conscience de ce qu’il implique, je me permettrai simplement, je l’espère, de briser un mythe qui consiste à vous faire gober que des « solutions » simplistes répondant à peine à 10% des problématiques de l’anonymat sont des solutions pérennes pour la protection de votre identité sur les réseaux. Tout ceci est bien plus complexe qu’on aime à vous le dire.

Un VPN (réseau privé virtuel), propose la création d’un tunnel, généralement chiffré entre votre ordinateur (ou dans certains cas votre routeur) et le fournisseur du service. Dans la majorité des cas, tout ce qui passe entre le fournisseur du service et le contenu que vous ciblez passe en clair sur le réseau. Peu de services proposent un chiffrement « end to end » (de bout en bout) , c’est là la première vulnérabilité des solutions de VPN. Si tout passe en clair entre votre prestataire et le contenu que cible votre visite, généralement sur un serveur distant, au fond à droite des Internets, vous avez intérêt à avoir sacrément confiance en lui. Prenez bien conscience qu’en choisissant un fournisseur de service VPN, vous lui confiez la même chose que ce que vous confiez à votre fournisseur d’accès Internet, la moindre des précautions est donc de connaitre la législation en vigueur dans le pays de ce fournisseur de service.

Au chapitre des erreurs, la plus communément observée est l’amalgame fait entre la protection du contenu (ie chiffrement) et la protection du contexte (ie anonymat), entre chiffrement et processus visant à réduire les risques de captation de données. Si on devait résumer ça simplement on dirait que :

  • Les contenus définissent l’information
  • Le contexte définit l’environnement et les modalités d’accès à l’information.
  • On protège les contenus par le biais du chiffrement.
  • On protège le contexte par une série de méthodes et techniques adaptées, et sûrement pas par un produit, qu’il soit matériel ou logiciel.

Si le contenu ou le contexte est compromis, c’est votre anonymat qui est compromis.

Il convient également de faire la différence entre protection de la vie privée et anonymat :

  • Anonymat : la faculté de ne pas se faire identifier par un tiers ;
  • Protection de la vie privée : la faculté de protéger ses communications de la captation par des tiers non autorisés… Autrement dit, d’empêcher des tiers de savoir ce que vous dites ou ce que vous faites.

Si vous m’avez bien lu, vous devez donc comprendre par exemple qu’un réseau chiffré n’est pas forcément garant de votre anonymat. Et inversement, TOR protège le contexte… mais pas le contenu (mais nous allons y revenir dans un prochain billet de cette même petite série).

Qui écoute quoi et où ?

Vous avez tous entendu une phrase stupide, même sortant de la bouche de personnes connues comme Mark Zuckerberg (le fondateur de Facebook) du type : « si on a rien à se reprocher, on a rien à cacher« . Il doit s’agir de personnes qui n’ont jamais par exemple effectué un achat sur Internet ou qui n’ont jamais échangé un mail ou des photos avec leur famille…

En France, la captation de données informatiques, particulièrement quand il s’agit de données à caractère personnel, est très encadrée, elle nécessite l’intervention d’un juge, une enquête judiciaire…

Oui mais voilà, si l’internet s’arrêtait aux frontières françaises, on appellerait ça le Minitel… ou l’Internet par Orange. Vos communications, même nationales empruntent des routes qui ne sont pas toujours sur le territoire national, et donc non soumises aux mêmes contraintes juridiques, un fournisseur de services peut très bien décider de capter ces données pour une raison x ou y… comme par exemple le Patriot Act aux USA. Du coup, si vous en venez à passer par un fournisseur de service VPN aux USA, il ne faudra pas vous étonner si vos communications sont interceptées par les services américains, c’est la loi américaine qui est ainsi. Son pendant européen est la loi sur la rétention des données. Le choix de l’implantation des serveurs du provider dans telle ou telle juridiction est particulièrement important. Fournir des solutions d’anonymat ou du VPN demande une vraie maitrise juridique car c’est un paramètre crucial.

Est-ce que vous confieriez vos données personnelles à ….

Allez, fermez les yeux, et imaginez un instant que je travaille pour Universal Music, comment je procéderai à votre avis si je voulais faire la chasse aux petits resquilleurs ? Bingo, je monterai un service de VPN plus ou moins clairement brandé « contourner hadopi », je l’appellerai par exemple Hadopi en verlan…. ça fait djeuns, ça fait rebelz, et c’est surtout un super moyen de diriger (et même capturer) tout le trafic des gros téléchargeurs vers chez moi afin de mieux les identifier… et en plus, pour une fois, ils sont assez gogos pour payer.

La suite dans : Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ? (to come soon)

L’Iran se serait débarrassé de Stuxnet

On en causait il y a peu ici, Stuxnet, un mystérieux virus s’en prendrait à des infrastructures industrielles. Le risque est la destruction physique d’équipements industriels, pouvant impliquer des pertes en vie humaines. À ce jour, c’est la Chine qui serait la plus touchée en nombre par le virus qui y revendique plus de 6 millions de machines infectées, une information qui contraste assez avec celle en provenance d’Iran, où les autorités affirment s’être débarrassées du worm. Siemens a effectivement publié un antidote mais l’élaboration de l’attaque n’a pas fini de faire causer dans les conventions relatives à la sécurité informatique. La persistance du virus et sa propagation soutenue pour le système ciblé reste inquiétante et tout triomphalisme me semble personnellement un peu prématuré.

Le New York Times aurait de son côté trouvé un indice, une référence biblique, qui viendrait conforter un peu plus la thèse soutenue par certains, venant à pointer du doigt les services secrets israéliens et peut être même, américains… à moins qu’il ne s’agisse d’une diversion, ce qui est fort probable également, vu l’enjeu et la réalisation de ce vers qui s’appuie sur pas moins de 4 failles 0day et le vol de certificats électroniques de constructeurs. L’attaque a été préparée de manière savante et on imagine difficilement qu’elle soit l’oeuvre de personnes ne disposant pas de moyens considérables.

En trame de fond, la polémique pourrait même devenir un cas d’école pour certains équipementiers, qui, comme Siemens, dont les équipements étaient la cible initiale de Stuxnet, risquent d’avoir un peu de travail en terme de communication clients sur la sécurisation de leurs dispositifs à usages industriels. Siemens aurait par exemple recommandé à ses clients de ne pas installer d’antivirus au motif que ceci pourrait ralentir le système ou inviterait à laisser les mots de passe  de connexion à la base de données inchangés.

Je vous invite à lire l’interview de Stephan Tanase sur le MagIT pour comprendre les enjeux et les raisons de la perplexité de tous les experts qui se sont intéressés à ce dossier, ainsi que l’article tout frais de Mag-Securs qui se penche sur les auteurs supposés de l’attaque.

A nice week : Open World Forum, CrisisCamp, full disclosure, Hadopi.fr…

Jai eu une semaine assez chargée, souvent loin de ma machine. Et il s’en est passé des choses. Cette semaine, j’étais par exemple à l’Open World Forum, on peut parler un franc succès pour cette troisième édition qui a reçu de nombreux intervenants de tous les pays pour parler d’ouverture… et pas que de logiciels.

Il y avait aussi jeudi soir cette soirée extraordinaire à la Cantine, une reconstitution de procès du full disclosure où j’ai été heureux de retrouver tous ces gens qui font l’histoire contemporaine de la sécurité informatique en France (il y avait beaucoup de beau monde), ainsi que des juristes de haut niveau pour traiter un cas fictif sur le full disclosure. Le prévenu a été relaxé, vous trouverez un excellent résumé de la soirée chez Sid qui a été victime d’une erreur de routage après l’événement et qui a atterri dans le mauvais bar alors que nous nous sommes tous ensuite dirigés vers le Pouchla… partie remise Sid). En tout cas, Merci à la Cantine et au Cercle Asimov pour cette soirée, j’espère que nous aurons l’occasion de remettre ça sur la table… je propose par exemple le procès de la Deep Packet Inspection pour la prochaine édition, avec comme prévenus, la SCPP, Orange ou Alcatel.

Vendredi soir, encore à la Cantine, c’était le second CrisisCamp parisien qui permet lui aussi d’étonnantes rencontres entre humanitaires, personnes du terrain et technophiles qui souhaite mettre en commun leurs compétences pour bâtir des applications ou des matériels ouverts pour accroitre l’efficacité des secours. Les CrisisCamp s’inscrivent dans un mouvement international, CrisisCommons, et le chapitre français, bien que naissant, montre déjà un encourageant dynamisme.

Plus tôt dans la journée de vendredi, c’était le lancement d’Hadopi.fr. Très attendu, le site semble tenir bon malgré les DDoS annoncéss. Il essuie comme prévu quelques attaques, on a de temps en temps quelques ralentissements, mais rien de bien méchant. Techniquement, il s’agit d’un Drupal statifié dont le seul élément dynamique est le formulaire de contact, hébergé par Agarik, nouvellement racheté par Bull. Pour avoir pratiqué un peu Agarik (avant le rachat par Bull), ils sont loin d’être les plus mauvais, en fait ils sont même franchement bons et ne devraient pas se la jouer France.Fr. Il n’y a rien à redire sur le site lui même et je n’ai pas encore fait le tour des contenus pour en causer mais Numerama comme l’ensemble de la presse met l’accent sur la pauvreté des informations fournies à l’internaute sur les moyens de sécurisation… et pour cause, la mission Riguidel continue de missionner mais n’est pas prête d’évangéliser. Je pense avoir le temps d’y revenir, en attendant, ne vous y trompez pas, la cible à abattre c’est la Deep Packet Inspection que l’on va nous resservir très bientôt.

Pour conclure ce billet un peu « bordelique » je vous invite aller jeter un oeil et votre cerveau sur ce billet de @Manach qui vous explique entre autres pourquoi Hadopi est vue d’un très mauvais oeil par les services secrets américains.

La petite barre de rire du soir : Poet.py

Aborder des sujets un peu légers des fois, ça détend les zygomatiques. Ça faisait un petit moment que je n’avais pas autant ri d’une vulnérabilité… bon ok pas si longtemps que ça en fait

Tout a commencé en scrutant ma timeline sur Twitter quand je tombe sur un tweet de @Sidd4rtha indiquant qu’un blog officiel de Microsoft migrait sur WordPress.com, l’incontournable mastodonte de scripts de blogs open source, c’est ce tweet là :

Et effectivement, ce n’est pas une blague, le Windows Live Space Bloggers vient bien de migrer sur WordPress.com. Un chouette coup de communication, autant pour Microsoft que pour WordPress.

Dans un esprit de barbu libriste comme le mien, ça prêtait déjà à sourire. Mais la barre de rire est arrivée dans les 20 secondes qui ont suivi ma découverte du tweet de @Sidd4tha, quand un collègue ours, Gawel, me balance ceci sur IRC :

Et, là tenez vous bien, comme c’est dans les meilleurs pots qu’on fait les meilleurs soupes, voici comment avec un vieil exploit datant de 2002,  on se groinfre des droits système sur des millions d’applications en ASP.Net … Voici la vidéo que je découvre sur le lien de Gawel… tout y est, passez en plein écran, montez le son, regardez bien le montage avec la musique, c’est magnifique et réalisé sans trucage (en dehors d’une petite avance rapide), elle est l’oeuvre de deux chercheurs Juliano Rizzo et Thai Duong :

Vous trouverez plus de détails ici, le code , une tentative de réponse de Microsoft , et la réponse de la réponse ici.

Python wins ! Merci Gawel et Sidd4rtha pour cette barre de rire <3

Wawa-Mania est bien une organisation structurée de cyber délinquants

***NOTE : AVANT DE LIRE CE BILLETMERCI DE LIRE CELUI-CI ***

Soutenir Wawa-Mania c’est soutenir un échange bien commercial et non le partage !

Avertissement : Ce qui suit est une enquête menée en une nuit par fo0 et moi même. Ce billet est motivé par notre volonté de vous ouvrir les yeux sur une organisation qui vous manipule en jouant sur de nombreux tableaux. Nous allons ici vous démontrer que Wawa-Mania, ce n’est pas que Zac. Chaque lien posté ici est une source d’information ahurissante et nous espérons qu’après avoir lu ce billet, vous ferez particulièrement attention à ne pas vous engager dans cette organisation, ni à la soutenir.

Nous ne tolérons pas que Wawa-Mania soit érigé en symbole du partage de la culture après tout ce que nous avons trouvé

Je vous parlais il y a quelques heures à peine de Wawa-Mania et je vous faisais part de mes soupçons sur l’éthique de Zac et sa fine équipe. Nous avons maintenant un paquet d’éléments qui nous font penser que nous sommes bien face à une organisation de cyber délinquants. Vous allez voir, il y a de quoi faire, tout ce petit monde a laissé un paquet de traces sur le Net. On y apprendra en vrac que des administrateurs de Wawa-Mania livrent la guerre à d’autres boards à coup de DDoS, defacing, vol de bases de données, vol de codes AlloPass, trojaning, on nous renseigne sur les finances de l’organisation,  sur les stratégies que l’organisation compte mener … tout y passe !

Nous avons acquis la conviction que Wawa-Mania discrédite aussi bien la scène warez que les opposants au projet de loi liberticide qu’est HADOPI. Ne vous laissez donc plus manipuler, partez de cette base, enquêtez vous mêmes, faites vous votre propre opinion, dans la plus grande tradition de la culture hacker.

Il apparait à 90% sûr que plusieurs personnes se sont enrichies et manipulent les autres

ATTENTION : Notre enquête ne vise en AUCUN CAS A DECREDIBILISER LA LIGUE ODEBI, en revanche, ceci devrait la mettre en garde sur qui elle soutient. D’après les informations que nous avons pu  collecter, nous émettons une extrême prudence, nous ne parlerons donc, à propos de la ligue ODEBI, que de l’un de ses acteurs, A.B, collègue de Zac. Visiblement un acteur très informé et très bavard. Nous soupçonnons A.B de ne pas avoir tout raconté à la Ligue Odebi, ce qui expliquerait son soutien aveugle à cette organisation bien huilée, en clair A.B aurait manipulé la ligue Odebi. Au centre de cette organisation des boards de warez (très nombreux), et une association : l’ATILD.

Au coeur de nos investigations on retrouve systématiquement A.B alias Nawak, proche de Zac, membre très actif de la Ligue Odebi, et gérant de la société qui emploie Zac.

Autant vous le dire tout de suite, nous sommes tombés là dessus en une seule nuit, vous vous doutez bien que les autorités qui instruisent l’affaire doivent en avoir par gigaoctets !

Les petits dessous de Wawa-Mania

1° – Wawa-Mania en chiffres :

Pas compliqué d’y accéder, le forum est un fluxBB, un petit tour ici : http://forum.wawa-mania.ws/onlinestats.php

Et on découvre pas moins de 867 148 membres  et plus de 3 millions de posts  !

On apprend plus tard sur pastebin que ça représente 3 millions de pages vues par jour

Si 2% de ces personnes cliquent sur une pub (sans parler des pubs qui rémunèrent à l’affichage), ça nous fait quand même 60 000 clics par jour, ce qui nous donne à 5 ct le clic, la somme de 3000 euros par jour

Ce graphe est aussi très parlant, vous le trouverez ici :

2° – Un réseau très structuré

Un autre scoop, Wawa Mania, ce n’est pas un seul site actuellement fermé, mais des dizaines de boards, d’espaces de stream privatifs … c’est juste énorme ! En voici quelques uns :

  • http://www.wawa-coffee.net/ —> http://pastebin.com/wEqdQR8p
  • http://streamguims.com/
  • http://onedayonelink.com
  • http://www.lebardeswareziens.org
  • ..

… on retrouve souvent les mêmes personnes comme :

  • Adaur (que vous trouverez ici ouvertement avec son hébergeur causer warez, visiblement tout à fait complice et qui rassure même Adaur en lui disant qu’il a déjà reçu des demandes de retrait de contenu mais que comme le fichier n’est pas physiquement sur le serveur, on ne peut mener d’action),
  • Mesko
  • AcidTouch

3° – A.B est bien un organisateur et un meneur d’hommes

A.B n’est pas que président de l’ATILD, dirigeant d’ODEBI, gérant de la société qui embauche Zac, pote de Mesko sur lequel nous allons revenir, c’est aussi un véritable manager et un habile manipulateur comme en atteste ce mail qu’en super warezien, on colle évidemment sur pastebin (cliquez pour zoomer) :

Attention, on arrive maintenant dans le rock’nroll. Je vous invite à TOUT lire, les manipulations de la presse, les collaborations entre boards, les appels aux dons alors que les sommes collectées sont probablement quelque part à l’étranger …

… il y en a des pages entières et A.B sollicite les wareziens en leur demandant de contribuer financièrement ce qui est hallucinant quand on jette un oeil là dessus

Puis dans la manipulation médiatique on a du lourd, le NouvelObs et France2 seraient demandeurs de spectacle, « c’est donnant/donnant » explique A.B.

4° – Le staff de Wawa-Mania

Croyez le ou pas … mais tout est en ligne, sur PasteBin,

Voici toute l’équipe :

Les Administrateurs : JadJoud ,Kaejan, MelJer, macky410
Administrateur Graphique: rom’
Modératrice Graphique: Marinou7
Les modérateurs Généraux: antho , legend killer, shinozuke
Les modérateurs Spécialisés:

  • xxxxxxxxxx ===> Musique
  • TheLuneaire===> Films
  • kosukeatami7===> Gamez
  • shadows.shogun====> Informatique
  • alcazard====> Majeur XXX

Les Graphistes: Angedughetto, ashexen, BYSnake, Dio-fr, Gordonne94, Helhunter, Rikey, roro82, Sn!PeR, zlatkobsd


5° – Les talents cachés du staff de Wawa-Mania

Vous vous doutez bien que dans la « scène », les warl0rdz se livrent une guerre sans merci, à coup de Ddos et de defacing, là encore on en parle ouvertement, on logue, et on fait indexer tout ça par Google, c’est une tradition semble t-il dans ce petit groupe :

Puis rapidement, on tombe dans plus fun que le warez, encore sur pastebin, on confesse volontiers qu’on utilise des botnets et des trojans pour se débarrasser de la « concurrence » et là on est plus du tout dans le petit partage de fichiers entre amis:

6° – Wawa-Mania et le fric (encore et toujours)

Un membre de la ligue Odébi nous apprend dans cette très intéressante page que Zac a gagné 1000 euros par mois pendant 3 ans … soit 36 000 euros (et ce n’est que ce que A.B avoue à des personnes auxquelles il sollicite des dons)… un vrai mécène quoi. Mais le plus fun c’est qu’il a surement organisé son insolvabilité, son pognon est à l’étranger et la même personne nous apprend qu’il paye son avocat (un ténor du barreau comme décrit dans le reportage de France 2) avec ses petites économie… pauvre Zac !

 

21:14 < w-irc936> D'ou provient l'argent que zac utilise pour payer son avocat? Touche toujours de l'argent des pubs sur wawa?
21:14 <@aurelienboch> zac utilise de l'argent qu'il avait mis de coté
21:15 <@aurelienboch> il n'est plus le webmaster de wawa

21:15 < bot76> Mais le forum vivra-t-il encore après ce procès ?
21:15 <@aurelienboch> oui
21:15 < Benj973> Qui s'occupe de Wawa ?
21:15 <@aurelienboch> quoiqu'il arrive wawamania restera en ligne21:52 < MaGiiC> question peut etre inutile, mais que fais zac actuellement? que fait t'il au lieu de rester sur le chan ?
21:52 <@aurelienboch> zac est occupé par ses affaires perso, il essaye de passer du temps avec ses proches
21:52 <@aurelienboch> car il ne le pourra plus s'il va en prison

Contrairement à ce que des personnes de la Ligue Odebi soutenaient dans les commentaires de ce billet, Zac n’est visiblement pas à plaindre. La ligue a peut-être tout simplement été bernée.

 

21:30 < SheitaN> Ouais enfin quand même, WM c'est pas une petite board, dites pas le contraire, il doit pas se faire que 200e/mois hein.
21:30 < AcidTouch> +1
21:30 <@aurelienboch> pendant une période il a gagné un peu plus de 1000 euros par mois, ça a duré trois ans
21:32 <@aurelienboch> zac est inquiet, il me confiait hier qu'il se couchait tous les soirs avec la sensation qu'il serait en prison le lendemain
21:32 <@aurelienboch> mais le buzz créé par l'Atild lui donne confaince
21:33 <@aurelienboch> et aussi voir que les dons montent vite
21:33 <@aurelienboch> pour l'autre question
21:33 <@aurelienboch> zac n'a pas les sous

7°- Les régies publicitaires de Wawa-Mania

Je les ai tout simplement trouvé en regardant le source des pages HTML, en voici 3, il y en a surement d’autres :
  • Une en Israel :
http://xtendmedia.com/
Registrant:
Personal
26 Hamitpe Apartment 20
Shoham,  POB 2657
Israel
Administrative Contact:
DRUKER, OFER  [email protected]
Personal
26 Hamitpe Apartment 20
Shoham,  POB 2657
Israel
+1.00972545642113
  • Une aux USA
z5x.net
Registrant:
Domains by Proxy, Inc.
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
  • Et encore aux USA
http://www.zedo.com/
Registrant:
roy de souza
roy de souza
215 2nd street 3rd floor
san francisco, ca 94105
US
Phone: +1.8474911104
8° Le pack presss
Voici un petit zip avec les PDF des discussions que nous avons trouvé (il y a de fortes chances que très vite elles disparaissent du net vu qu’elles proviennent d’un serveur web hébergé chez un particulier (coucou freebox).
9°- conclusion :

Cette enquête, réalisée à l’aide d’un simple navigateur, vous démontre comment des personnes peuvent vous manipuler et vous exploiter sur le Net en se faisant passer pour des défenseurs de vos libertés, alors qu’elles ne défendent en fait que leur porte-feuille. Les faits relatés ici devraient vous permettre de porter un regard avisé sur l’affaire Wawa-Mania et de ce qu’on a tenté de vous faire gober.
Ce billet est « sponsorisé » par
Google Cache, Pastebin, the irc network et les cafés grand mère
Bluetouff & fo0

Net Neutrality : Le gouvernement consulte « enfin » les 5 gus du garage

Annoncé à l’instant via le Twitter de Nathalie Kosciusko-Morizet, la consultation sur la Net Neutrality est ouverte. Si vous aussi vous êtes un gus dans un garage, un professionnel du Net, un défenseur des libertés numériques, un activiste, ou tout simplement attachés à conserver un Internet ouvert et neutre vous êtes invités à venir vous exprimer sur ce thème. Niveau outil c’est un peu cheap, vous bénéficiez d’un joli document PDF et d’une adresse mail. Si toutefois, pour plus de sécurité, vous souhaitez utiliser la RFC 1149 pour répondre à cette consultation, vous êtes priés d’envoyer votre pigeon à l’adresse suivante :

Direction générale de la compétitivité de l’industrie et des services – STIC/SDRU
Le Bervil
12 rue Villiot – 75012 Paris Cedex 12