HADOPI : TMG pourrait injecter votre propre adresse IP sur Emule

Bon là vous allez voir, on a touché le fond, ou quand les sociétés privées emploient des méthodes qui fricottent avec l’usurpation d’identité pour vous piéger.

Nous nous étions posé, la question de la légalité de l’injection d’IP spoofées avec l’outil Seedfuck.

Tout d’abord, il faut lire le troisième commentaire de cette page, il semble fort bien renseigné et argumenté, même si je dois avouer que je n’ai pas eu le temps de faire des recherches pour confirmer ces informations. Et je dois vous avouer que passer le fou rire, ça me fait quand même réfléchir.

Tout d’abord le four rire :

« Avec juste le serveur 85.159.232.81 dans emule, faite une recherche sur ‘( ‘ en type mp3 avec au moins 10 sources. (n’oubliez pas de désactiver kad). vous trouverez des fichiers, notamment pas mal concernant m. jackson. telechargez ces fichiers : vous constaterez environ 70 sources IP, dont 65 sont des ip artificiellement injectées, correspondant a des utilisateurs du bresil, du portugal, de pologne ou d’autre pays europeens. (environ 5-10 ip par pays). concernant la france, ces ip renvoient chez des clients wanadoo, free, dont certain sont ACTIFS ET EN LIGNE, MEME s’ils n’ont aucune connexion sur un reseau p2p … »

Là on parle bien de spoofer l’adresse IP d’un internaute qui n’a peut-être jamais mis les pieds sur un réseau P2P, ou qu’y s’y trouve et donc rencontre des problèmes de connexion puisque TMG usurpe son IP pour accéder au même service que lui ! Ainsi, un internaute téléchargeur, croisant sa propre adresse IP sur un réseau P2P pourrait engager des poursuites contre TMG si l’adresse IP était reconnue comme un élément de votre identité.

Ce qui nous amène directement à … Seedfuck.

Seedfuck fonctionne sur un principe différent pour des finalités différentes. Mais si TMG use bien de spoofing IP, on se demande ce qu’on reprochera aux internautes qui l’utilisent pour tromper TMG. D’ailleurs toujours sur Seedfuck, j’en profite pour vous signaler, que comme prévu, le code est en train de muter, il est passé en GPL (une version threadée en Python), et plusieurs variantes amusantes se trouvent sur Pastebin ou d’autres pasters.

Le plus triste là dedans c’est d’avoir raison … on assiste comme prévu à une course à l’armement, aux frontières de la légalité, de la part des uns et des autres. Tout ça à cause de quelques moines copistes de DVD…

18 avril 201018 avril 2010

Seedfuck : maintenant en Java et en PHP

Il s’est passé beaucoup de choses ce weekend autour de Seedfuck, ce qui n’était qu’un petit proof of concept accessible à quelques nerds est aujourd’hui un petit logiciel utilisable par n’importe qui :

En Python (avec une interface web)
En Java (avec une interface graphique)
En PHP (une nouvelle variante mode web, installable sur n’importe quel hébergement grand public, renommée BTPoison.php car elle est assez différente dans son fonctionnement et moins « trash »)

Deux posts importants :

Les petites précisions de hack45
Un excellent billet sur E-juriste par @pchamana

Retenons trois faits importants :

La collecte des preuves par la HADOPI, va couter plus cher que prévu pour une fiabilité plus que douteuse, une position encore confortée par la l’étrange consultation nationale sur le droit à l’oubli numérique qui fait rire jusqu’en Suède ;
Seedfuck va subir encore pas mal d’évolutions et il y a un risque de le voir inoculé via des chevaux de Troie sur des machines « zombifiées ».
Seedfuck a donc muté de l’état de proof of concept à l’état de menace réelle et sérieuse en 48 heure, preuve de la volonté des internautes de s’opposer à cette mauvaise réponse au faux problème que représente la HADOPI,

17 avril 201018 avril 2010

Consultation sur le droit à l’oubli numérique … Fail again

Je vous ai parlé de mon point de vue sur le droit à l’oubli numérique dans un billet précédent, une absurdité technique revenant à vous demander si vous êtes pour ou contre la mort derrière laquelle on sent se profiler la censure de Wikipédia ou de Archive.org. Et en donnant l’url de la consultation gouvernementale sur ce thème, tous mes interlocuteurs sont étrangement tombés sur un message leur indiquant qu’ils avaient déjà voté …

Voici le lien en question :

http://www.prospective-numerique.gouv.fr/place-publique/votez/etes-vous-favorable-la-mise-en-place-d-un-droit-l-oubli-numerique.html

Currieux de comprendre comment ce ci est possible, j’opte pour la solution du proxy (avec un autre navigateur et une IP turque toréfiée) en me rendant sur cette page :

http://www.prospective-numerique.gouv.fr/place-publique/

Puis en clicant au bon en droit vers le bas à gauche sur « Etes vous favorable à la mise en place du droit à l’oubli numérique », voilà que l’on me prose de voter.

Je clique et hop … il semblerait que cette consultation nationale passionne la Turquie puisqu’on me renvoi ce message : « Vous avez déjà voté depuis cette adresse IP »… et moi qui m’attendait à me faire jeter pour « fabricage d’IP pas de chez nous »…

Du coup je me demande si vous, internautes, pouvez être consultés …

Arrivez vous à voter ?
Quelle url transmettre pour que les gens puissent voter ?

☠

EDIT : Bon voici le résultat des premiers tests de ce qu’il convient de désigner comme une consultation nationale étendue :

Impossible de voter depuis une IP française #lol
Impossible de voter depuis une IP turque
Impossible de voter depuis une IP tchèque
Impossible de voter depuis une IP finlandaise
Impossible de voter depuis une IP suisse

Possibilité de voter depuis une IP canadienne
Possibilité de voter depuis une IP américaine
Possibilité de voter depuis une IP suédoise
Possibilité de voter depuis une IP danoise
Possibilité de voter depuis une IP japonaise
Possibilité de voter depuis une IP brésilienne
Possibilité de voter depuis une IP allemande
Possibilité de voter depuis une IP ukrainienne
Possibilité de voter depuis une IP bulgare
Possibilité de voter depuis une IP indienne
Possibilité de voter depuis une IP malaisienne
Possibilité de voter depuis une IP chinoise

On relance le débat sur l’identité nationale ?

16 avril 201016 avril 2010

ACTA : une version consolidée bientôt publique

Via PCInpact, Sandrine Bélier, député européenne (Europe Ecologie) a révélé sur son Twittter qu’une version consolidée, c’est à dire officielle et quasi complète à un instant T des négociations, de l’accord anti contrefaçon, l’ACTA, devrait être rendue publique le Mercredi 21 avrril.

Le principe de riposte graduée, inspirée du « modèle français » aurait été abandonnée.

L’information est confirmée sur le site du cabinet du commissaire européen au commerce Karel de Gluch qui s’était fait un peu secouer par les eurodéputés, lui reprochant un déficit démocratique et exprimant clairement leur envie de transparence sur ce dossier.

On ne peut que se féliciter d’obtenir enfin un peu de transparence sur ces négociations qui se tiennent secrètement depuis 2006 et qui inquiètent encore.

PCInpact précise que les fouilles de disques durs aux frontières ne sont pas non plus à l’ordre du jour et que le prochain rendez-vous des négociations se tiendra en Juin prochain en Suisse.

16 avril 201016 avril 2010

Seedfuck porté en Python avec un frontend web

AVERTISSEMENT : Polluer les réseaux P2P avec des adresses IP serait passible de poursuites selon l’article 434-23 du Code Pénal (Merci à @manhack et @ericfreyss de nous l’avoir rappelé).

Tout va très vite sur Internet, vraiment très vite, un internaute vient de nous poster un lien sur un portage de Seedfuck, avec une belle interface web. C’est du Web.py, c’est redoutable, et maintenant à la porté de tout le monde, sans nécessiter d’installation… Le source est éditable en ligne et permet maintenant, à n’importe qui de pourrir les trackers d’IP prédéfinies ou pas (moyennant encore quelques petits ajustements).

L’engouement autour de ce petit bout de code me surprend énormément et la réactivité des internautes et leur faculté à prendre les armes pour lutter contre HADOPI me laisse sur le C***

Seedfuck en mode web

15 avril 201016 avril 2010

Droit à l’oubli numérique : pourquoi c’est crétin ?

Attention, malgré un titre provocateur, ma position sur ce point est loin d’être tranchée, je ne nie pas qu’il existe des cas dramatiques, en revanche je trouve stupide de légiférer sur ce qui est techniquement absurde et dangereux (notre corpus législatif est déjà suffisant pour répondre aux problématiques de retraits de contenus diffamatoires ou portant atteinte à la personne). Je réagis à un tweet de @versac signalant qu’une consultation est actuellement en cours sur ce thème et dénonçant par là les « sécuricistes » … point sur lequel je le rejoins parfaitement, et voici pourquoi :

Primo, la problématique :

Oui certaines personnes, peu éduquées numériquement ont à souffrir de ce que la tendance marketing actuelle appelle la e-réputation. Il y a même des cas dramatiques (Cyndy Sanders si tu me lis…). Pour les gens comme tout le monde (… tout le monde n’a pas le don d’un Frédéric Lefèbvre pour se faire détester des internautes) tout commence par une confiance excessive sur les informations qu’ils diffusent sur le Net via des blogs, des réseaux sociaux ou autres. L’information peut être reprise, déformée et rediffusée… comme dans la vraie vie. Il y a bien des cas dramatiques qui existent, par exemple des mineurs s’exhibant devant des webcams et se retrouvant sur des sites malsains, mais là encore il s’agit d’un manque véritable d’éducation et les parents en sont au moins aussi responsables que les victimes elles mêmes.

De nombreuses questions autour de ce fumeux concept de droit à l’oubli :

Que sommes nous prêts à accepter pour pardonner la bêtise des uns et le manque d’éducation des autres ?
Comment faire pour sortir des informations qui sont entrées dans le réseau ?
Combien cela couterait-il ?
Qui appliquerait un blocage (les FAI ?) ou ferait appliquer un retrait de contenu ?
On le ferait sur demande de n’importe qui ou faudrait il que ce soit un juge qui ordonne pour un motif constitué légalement le droit à l’exercice de cette demande d’oubli ?
Est-ce que ça ne risque pas de nuire à des choses bien utiles comme le site Archive.org qui s’est donné pour mission d’être la mémoire du web ?

En pratique, faire retirer un contenu peut être envisagé comme la solution … sauf que le réseau des réseaux ne connaissant pas de frontière, l’information est répliquée et rediffusée hors de nos juridictions, elle est dans le cache des moteurs de recherche, sur les disques durs des gens qui l’ont visionné …. En soi, l’oubli sur Internet n’est donc techniquement pas possible, il est même complètement absurde. N’importe qui pourra l’archiver une information et la rediffuser des années après. On dit que les français n’ont pas de mémoire, c’est peut être aussi pour ça que le Net un rôle sociétal à jouer.

Il m’est avi que ce droit à l’oubli est illusoir, c’est tout ce qu’un certain bisounours hémiplégique (Emmanuel Hoog, si vous ne voyez pas de qui je parle) a trouvé pour faire parler de lui … et il a réussit son coup. A quand une consultation publique sur l’engagement de l’Etat dans le déploiement d’un réseau fibré gigabit accessible aux particuliers (comme c’est déjà le cas en Corée du Sud) ?

Pour citer un ami qui se reconnaitra, « La France n’a pas les tuyaux de ses ambitions« , elle a en ce moment en revanche un faculté hallucinante à légiférer sur des âneries.

En complément d’information, je vous invite à lire le savant billet de Denis Ettighoffer avec lequel je me suis pourtant souvent opposé à l’époque où je n’étais qu’étudiant à l’ISTEC 😉

PS : Denis, je suis ravis de constater que vos positions sur le monde du logiciel libre ont évolué 😉

15 avril 201015 avril 2010

Torrent Poisoning : le p0c qui vient de tuer HADOPI

Comme prévu, même un peu en avance sur le calendrier, un code de Torrent poisoning est maintenant disponible, l’info vient d’être publiée ici. Répondant au doux nom de seedfuck, il sert à inonder les trackers Torrent de fausses adresses IP, tout comme The Pirate Bay l’avait promis. Le p0c est écrit en C Mono mais ne demande visiblement qu’à être porté.

Pour faire simple, voici comment ça fonctionne : on génère de fausses IP créant de l’activité sur un Hash (identifiant unique d’un fichier) donné, ces fausses ip génère du trafic et des events (donwload complété par exemple ou octets restants à télécharger).

Rappelons que la HADOPI surveillera une liste donnée d’oeuvres par leur Hash, ce qui veut dire que le bruit généré sur ces oeuvres surveillées va créer un sacré bazar.

… pire, un binaire Windows serait même déjà prêt !

On risque donc, aux premiers envois de mails de se payer de bonnes barres de rire, en retrouvant par exemple les IP de la rue de Valois dans les plus gros téléchargeurs.

Le code source est disponible ici.

14 avril 201015 avril 2010

Communiqué de l’OMWF : démantèlement d’un réseau de pirates et saisie record !

Oyez Oyez, l’OMWF est fier de vous annoncer le démantèlement d’un réseau de pirates de très grande envergure !

Les pirates faisaient travailler plus de 1000 esclaves dans un garage ! Les gus ont été appréhendés et le matériel contrefait a été saisi. En exclusivité notre ministre de la culture réagi à ce coup de filet magistral. A n’en pas douter, grâce à HADOPI, notre bien aimée Haute Autorité, le piratage ne sera plus qu’un mauvais souvenir dés le printemps 2011, les mesures prises par le gouvernement devraient mettre un terme à cet odieux trafic qui n’hésite pas à sombrer dans l’esclavagisme pour piller la culture française.

Vive le Ministre, Vive Jean-Paul Belmondo, Vive la République Populaire de France.

Reportage Piratage INA
envoyé par tsubasa_403. – Regardez plus de vidéos de science.

Merci à Rikle_S pour cette perle d’outre-tombe 😉

13 avril 201013 avril 2010

ACTA : La Commission Européenne veut nous rassurer … et ça m’inquiète

C’est à l’aide de quelques slides que la Commission Européenne tente de rassurer les parlementaires et plus généralement les internautes inquiets de l’ACTA, négociée secrètement depuis 2006. La Commission assure qu’ACTA n’entraînera pas comme on le craint la généralisation de la riposte graduée (on s’en fout on l’a déjà en France … enfin en théorie parce qu’en pratique c’est pas pour demain) et ne transformera pas FAI et hébergeurs en gendarmes du Net … promis, juré, craché !

A en croire la Commission, ACTA se montrerait même respectueuse de votre vie privée (ça c’est nouveau en revanche) et porterait son effort répressif uniquement sur le piratage à un échelon commercial. Attention donc si vous comptiez profiter d’HADOPI pour arrondir vos fins de mois en vendant des Divx gravés dans le métro. Exit également les fouilles de disques durs et de lecteurs MP3 aux frontières, sauf si vous avez une tête de traficant de Divx « à un echelon commercial ». La Commission Européenne se veut donc bien trop rassurante pour être honnête et ceci contraste fortement avec la position qu’elle avait tenue face au eurodéputés où elle s’était vu infliger un vote sanction qui restera gravé dans les anales;

Le sénateur Richard Yung a tout de même demandé à ce que le Parlement soit informé de ces négociations et leur éventuelles interaction avec des textes bien de chez nous comme la LOPPSI et Hadopi.

Voici les slides présentés par la Commission :

ACTA – Stakeholders Conference presentation by Luc-Pierre Devigne

13 avril 2010

L’ORTF se rebiffe !

Alors que notre nouveau média vient de prendre un coup de vieux, voici que c’est aux « vieux » médias de se rebiffer. Le Point a ce matin publié un article révélant que l’Etat aurait été mis en minorité dans le vote de la privatisation de la régie de France Télévision ! Le conseil d’administration s’est exprimé et le résultat est sans appel 10 voix contre 5.

C’est un sacré rebondissement et surtout une nouvelle claque pour Nicolas Sarkozy qui voit capoter sa réforme. France Télévisions pourrait maintenir la publicité avant le 20h, voir en journée. Il s’agit surtout d’une excellente nouvelle pour les quelques 280 salariés de la régie de France Télévision et peut-être pour les fournisseurs d’accès Internet (on est en droit de se demander ce que la taxe imposée au fournisseurs d’accès Internet va devenir, sera t-elle maintenue ?). Bénéficiaire depuis cette année, la régie de France Télévision rapporte 400 millions d’euros alors que la suppression des publicités avant le 20h voulue par Nicolas Sarkozy lui aurait procuré un manque à gagner de de 210 millions que l’Etat aurait fiscalement compensé par 430 millions d’euros, promettant quelques recours à Bruxelles.

La privatisation de la régie publicitaire de France Télévisions est donc ajournée … et peut être même définitivement enterrée.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.