HADOPI : Glasnost sur le Deep Packet Inspection ?

La Haute Autorité a daigné répondre à mes interrogations sur la Deep Packet Inpection, vous trouverez les questions ici, et la réponse de l’HADOPI , . J’ai lu très attentivement cette réponse et j’y vois deux trois choses intéressantes :

Dans un premier temps, le fait que l’HADOPI, par le biais d’une réponse officielle, fasse un premier pas pour tenter de lever des inquiétudes, montre à quel point cette question du Deep Packet Inspection est centrale et inquiète… tant nous, internautes, que l’HADOPI, qui doit quand même se rendre compte que l’on ne peut pas accepter tout et n’importe quoi en matière de sécurisation, particulièrement quand il s’agit de jouer avec des outils, qui détournés de leur usage initial, peuvent aboutir à des situations non désirées de tous, et dans l’intérêt de quelques croisés du droit d’auteur.

Maintenant concernant le terme de « fantasme » Marc, sur PCInpact a très bien résumé ce faisceau de présomptions particulièrement fondé et étayé par des faits qui nous incitent à penser que le DPI est bien considéré comme une solution qu’il faut « évaluer », le président de la République en tête. Peut-on donc réellement parler de fantasme, surtout quand on lit un peu partout que le déploiement du DPI à grande échelle coûterait des centaines de millions et que l’on sait que ceci est parfaitement faux. Les déploiements d’équipements en coeur de réseau, proche des backbones, coûteraient au plus quelques millions. Un routeur de service vide coute dans les 80 000 euros, une fois gavé de modules dédiés au DPI on arrive à un chiffre de 200 000 euros pour traiter du terabit. Ce qui est donc de l’ordre du fantasme, c’est dire que c’est impossible parce que ceci coûte cher… le DPI est tout à fait à la portée de la bourse des 7 principaux fournisseurs d’accès.

D’un fantasme à l’autre, il n’y a qu’un pas

Vous m’avez peut être, à la lecture de certains billet, vu parler à demi mot d’expérimentations menées par les FAI dans le domaine de la reconnaissance de contenus. Et bien je vais me permettre d’être encore plus clair : OUI, certains fournisseurs d’accès l’expérimentent, c’est une évidence. Il est également de notoriété publique que ces technologies sont déjà en place sur les réseaux mobiles des opérateurs téléphoniques. Ils y ont un intérêt flagrant, il est d’ordre économique et le DPI peut vite devenir très rentable pour eux. Je m’explique…

En condamnant le P2P qui favorisait des échanges principalement nationaux, où la bande passante n’était pas facturable par un tiers, et qui avait le bon goût d’équilibrer les charges en utilisant un lien fibre dans un sens comme dans l’autre, HADOPI a pour principale conséquence une migration massive des utilisateurs vers des solutions de direct download (Rapidshare, Megaupload….). Ces solutions font un usage de la bande passante à sens unique, les serveurs sont souvent situés outre-atlantique, aux USA. Les autres gros hébergeurs se trouvent aux Pays-Bas, en Russie… Tous les fournisseurs d’accès vous confirmeront cet accroissement de trafic transnational à sens unique et donc une hausse des coûts de transit. Les solutions de reconnaissance de contenu deviennent alors intéressantes pour un FAI un peu zélé qui souhaiterait faire la chasse aux téléchargements de fichiers lourds, avec pour argument, que comme il s’agit dans 99% des cas de fichiers illégaux, il est dans son bon droit… et puis c’est dans l’air du temps et c’est bien ce que promettent les équipementiers aux FAI : faire plein d’économies en se débarrassant d’un trafic indésirable. Mais comment un FAI va reconnaître un Divx légal (encodé par mes soins depuis un original légalement acquis) que je fais transiter par le réseau depuis mon média center de mon lieu de résidence, à mon laptop, sur mon lieu de vacances ?

La HADOPI veut se donner les moyens de la transparence

Je ne reviendrai pas sur la joute sémantique tester/évaluer/expérimenter et je vais tenter de me concentrer sur ce qui me semble le plus intéressant dans cette réponse. L’HADOPI, affirme que les expériences menées par les fournisseurs d’accès ne présenteront à ses yeux aucun intérêt et ne leur prêtera aucune crédibilité si par l’intermédiaire de ses labs, elle ne peut exercer un contrôle sur la méthodologie, le contexte et le périmètre de ces expérimentations. Maintenant que la loi est là, et tant qu’elle ne sera pas abrogée, c’est à l’HADOPI qu’incombe la mission d’évaluer ces solutions de filtrage et elle rappelle que ceci devra se faire dans la transparence la plus totale :  les évaluations doivent être présentées au législateur et au public dans le rapport d’activité de la Haute Autorité.

Soyons clair, je ne dis pas que ça me tranquillise, ni qu’au fond de moi j’estime l’HADOPI légitime dans une mission d’évaluation d’une solution de flicage globale, mais le cadre légal indique qu’au moins les résultats seront publics. Une chose apparaît claire en tout cas, c’est que l’HADOPI évaluera bien le DPI, et c’est au sein de ses Labs que ceci devrait se passer. Mon sentiment là dessus est qu’évaluer ce genre de solutions dans le but de filtrer des contenus soumis à droit d’auteur reste une dérive dangereuse et contre nature. Envisager quer l’on puisse utiliser le DPI pour servir la croisade du droit d’auteur me fait froid dans le dos et ne laisse rien augurer de bon. L’autre effet perver sera bien évidemment le chiffrement lourd des communications des abonnés, la crise de confiance serait sans précédent.

Allez encore un petit effort

Si l’HADOPI a un réel pouvoir de décision sur cette épineuse question, il est impératif qu’elle rejette toute utilisation de filtrage par reconnaissance des contenus. De tels dispositifs ne doivent pas avoir leur place dans une démocratie, le risque de détournement est bien trop important, il est inéluctable. Offrir le Deep Packet Inspection, même sur abonnement pour contourner quelques détails légaux comme le viol de la vie privée des concitoyens reste inacceptable, j’ose espéré que la sagesse prévaudra sur la pression des ministère de l’Industrie, de la Culture, des ayants droits et d’une poignée de politiques qui ne prennent pas la (dé)mesure des outils qu’ils souhaitent mettre en place, alors que les effets du piratage sur l’économie des biens culturels  sont loins d’être aussi négatifs qu’ils n’aiment à le faire croire… un autre point sur lequel les labs devraient tenter de porter leur attention en produisant des études que l’on souhaite indépendantes, elles aussi.

Pour conclure, si la Haute Autorité fait preuve de l’indépendance qu’elle souhaite affirmer dans sa réponse (un acte que je salue au passage), nous devrions arriver à des choses intéressantes un jour ou l’autre et je confesse que j’apprécie ce premier pas même si l’objet reste à mes yeux inacceptable : le DPI n’a pas sa place dans une démocratie digne de ce nom. Enfin l’évaluation des technologies de reconnaissance de contenus sont un aveu d’échec assez flagrant sur les solutions techniques de « sécurisation » des accès Internet… mais là dessus, je ne m’attendais pas spécialement à des miracles.

Je resterai donc particulièrement attentif sur ce sujet et j’entends que les quelques fournisseurs d’accès qui expérimentent dans leur coin ces solutions sortent du bois rapidement, et surtout que le législateur prenne ses responsabilités pour encadrer l’usage des ces technologies dont l’objet est de servir le bon fonctionnement d’un réseau, mais surement pas d’opérer un flicage sur la population.

Alain Suguenot soutient Free… il a tout compris

Alain Suguenot
Alain Suguenot

Dans La voix est Libre une émission de France 3 Bourgogne, Alain Suguenot, député UMP et maire de Beaune apporte ouvertement son soutien au fournisseur d’accès Free qui avait refusé d’envoyer les emails de recommandation de l’HADOPI. Le député en profite pour dézinguer HADOPI, trappelant par exemple que cette loi aura eu la peau de deux ministres.

Le député Suguenot rappelle que Free a pris une décision courageuse en prenant position contre une loi liberticide… le mot est lâché. Le constat est là, les carences démocratiques pendant les débats d’HADOPI 1 et 2 laissent des traces et le député le rappelle : « Aujourd’hui, la loi pose des difficultés que l’on avait évoqué« . Puis quand le journaliste demande au député s’il n’est pas un peu esseulé au sein de sa majorité, le député répond « je suis celui qui parle« … Il apparait clair que si HADOPI devait repasser aujourd’hui devant le parlement, il y a de fortes chances que si par miracle elle était adoptée, elle ne ressemblerait pas à ce que nous connaissons aujourd’hui… la pédagogie à ses limites et de nombreux députés commencent à se rendre compte qu’on ne peut manier la trique sans carotte (une offre légale digne de ce nom).

Au coeur de l’argumentaire d’Alain Suguenot, l’offre légale inexistante et le problème de la sécurisation de la connexion de l’abonné qui ne trouvera probablement jamais de solution technique satisfaisante.

Merci à Niko pour l’url de la vidéo 😉

Débattre avec Franck Riester ? Ouai mais non…

Je suis tombé sur la charmante proposition de l’ami Skhaen et relayée par Spyou qui lançait l’idée d’un débat avec Franck Riester…. et bien très franchement, c’est hors de question, et je vais vous expliquer pourquoi.

Un débat entend que des personnes aient une volonté réciproque d’échanger. Franck Riester à 90 heures de preuves à charge en vidéo à son encontre (vous les trouverez dans le médiakit de la Quadrature du Net, il s’agit des débats parlementaires sur Hadopi 1 et 2 … anéfé.. rejeté…), il n’écoute que lui même, y compris quand il sait qu’il raconte n’importe quoi, qu’il désinforme, et qu’il sert sa propagande pour diaboliser le Net.

Ensuite, la langue de bois, quand elle est maniée avec art, peut être distrayante… là même pas… Franck Riester ne m’amuse pas le moins du monde. Ni sur le fond, ni sur la forme… bon ok, un cours de firewalling Open Office avec Christine Albanel, vaut bien une certification Cisco… Mais voilà, je préfère me concentrer sur un dialogue sérieux avec des interlocuteurs autrement plus cortiqués.

Enfin, je n’ai pas pour vocation à instruire une personne ultra compétente en son domaine, puisque comme la député Marland-Militello, il a été rapporteur sur Hadopi… c’est donc qu’il connait parfaitement internet… Comme la député Marland Militello… « Je veux une république irréprochable » disait notre président… et un Internet civilisé dans lequel Franck Riester lutte contre les hackers

Ça va ? Vous en avez beaucoup attrapé des hackers Monsieur Riester depuis votre brillante sortie ? Parce qu’en attendant, les pirates, eux, ils sont morts de rire.

Donc non franchement, je vais laisser monsieur Riester débattre tout seul et continuer à être l’un des artisans majeurs de la défaite de Nicolas Sarkozy et de la désaffection des jeunes pour l’UMP, il se débrouille parfaitement sans moi.

D’ailleurs monsieur Riester a surement mieux à faire… Il pourrait par exemple tenter d’aider le ministre de la culture à répondre aux questions des parlementaires qui trainent depuis plus d’un an !

Internet civilisé

Cleanternet

La député Marland-Militello, décidément en très grande forme en ce moment, nous cause encore Internet, pas n’importe quel Internet, son Internet à elle est civilisé grâce à Nicolas Sarkozy… il est fort ce Nicolas.

Comme à son habitude, la député Marland-Militello démontre une confusion extrême dans ses propos, qui prouvent, une fois de plus s’il en était encore besoin, qu’elle ne comprend strictement rien à ce qu’elle raconte. Elle commence donc par se féliciter de l’immense succès populaire qu’est HADOPI (mais sur quelle planète peut bien vivre madame Marland-Militello ?).

Première tentative d’argumentation, première bêtise de gros calibre, je cite :

« Sans fournisseurs d’accès pas de piratage possible puisque pas d’internet possible »

Celle ci compte double et je ne perdrai pas de temps à lui expliquer ce qu’est l’Internet et un fournisseur d’accès, j’y renonce, désolé. Je soulignerai simplement qu’il est de notoriété publique que le « piratage » existe uniquement depuis l’avènement de l’Internet. Donc si on supprime Internet, plus de piratage, c’est d’une logique implacable !


Reportage Piratage INA
envoyé par tsubasa_403. – Vidéos des dernières découvertes scientifiques.

Ensuite, ça ne s’arrange pas :

« Il est donc logique que les fournisseurs d’accès participent à la régulation des dérives commises par certains sur internet. »

Là, il est quand même plus inquiétant de voir qu’une élue de la République trouve normal de confier une mission judiciaire aux fournisseurs d’accès. Par régulation des dérives, on parle quand même de lutte contre la contre-façon, qui est un délit. Depuis quand les fournisseurs d’accès sont ils investis d’une mission qui incombe à la justice ?

« Le travail des hommes et des femmes politiques responsables est d’agir pour qu’internet ne soit pas un monde sans foi ni loi, où les droits et les libertés seraient menacés, à commencer par la sécurité. »

Ah nous y voilà ! Internet ce monde sans foi ni loi… et les politiques vont nous sauver… c’est vrai qu’a dresser le bilan de votre oeuvre en matière d’Internet, on comprend tout de suite l’importance que des politiques légifèrent, comme pour le DADVSI, comme pour HADOPI… deux succès à n’en pas douter, on attend LOPPSI et le blocage des sites pédophiles avec impatience pour que la député Marland-Militello nous explique que grâce à Nicolas Sarkozy, plus aucun mineur n’est victime d’abus sexuels. D’ailleurs notre Internet à nous il est quand même vachement plus propre que l’Internet de nos voisins… Puis il y a ce mot à la fin de la phrase… SECURITE… là encore il est de notoriété publique que l’Etat est irréprochable et donne l’exemple. D’ailleurs avec HADOPI, on aura plus de problème de sécurité, c’est bien connu… même la NSA est parfaitement d’accord avec la député Marland-Militello, HADOPI est un succès pour la sécurité intérieure des Etats.

On a ensuite comme il est de coutume dans chaque billet de la député Marland Militello une petite diatribe à la gloire du chef :

Et grâce à notre Président de la République Nicolas Sarkozy, la France est la pionnière mondiale de l’internet civilisé.

… ouai on est trop forts nous en France ! On est super civilisés, et on a un usage très responsable des nouvelles technologies… nous sommes exemplaires !

Puis, comme on en est plus à une confusion de plus ou de moins, on termine en apothéose :

les FAI ont également un rôle de premier plan à jouer dans l’accès à une offre légale de qualité (…)

Notez qu’elle est belle celle-ci, un lapsus ultra révélateur qui assimile des fournisseurs d’accès à des producteurs de contenus… La député Marland-Militello confond ici Vivendi Universal avec un fournisseur d’accès.

Allez on se la refait, pour le plaisir :

Nicolas Sarkozy va sauver la création… et Willy ?

Sauvez HADOPI

Quand notre Président fait une sortie pour défendre HADOPI, on se dit que Christine Albanel n’est peut être pas responsable de toutes les bêtises qu’elle a pu sortir dans l’hémicycle pendant les débats sur HADOPI.

« Si on laisse le pillage que représente le piratage prospérer (…) il n’y aura plus de cinéma, il n’y aura plus de disques, il n’y aura plus de livres, il n’y aura plus de créations » (…) « Si on autorise le vol, on détruit le processus de la création (…) je ne laisserai pas détruire le livre, je ne laisserai pas détruire le disque, je ne laisserai pas détruire le cinéma, c’est trop important pour notre pays »

Il est intéressant de constater que dans la tête de notre Président, la création est indissociable de l’économie de marché. Comme si nos ancêtres néandertaliens avaient eu besoin d’un éditeur et d’un contrat de distribution pour produire leurs fresques, comme si un enfant ne pouvait pas se passer d’un contrat avec une major pour chanter dans sa cour d’école…  Si de très loin, ça semble tenir la route pour le cinéma, concernant l’écriture, ou la musique, il s’agit d’une énormité. Vous avez vu ? Je parle de musique et non de disques, je parle d’écriture et non de livres. Et oui, assimiler la création à son support est une erreur factuelle.

Mais il y a encore plus énorme… Nicolas Sarkozy a donc expliqué à nos chérubins qu’Internet tuait la création, alors que la création, elle ne s’est jamais aussi bien portée depuis l’avènement d’Internet. C’est par centaines de milliers que des musiciens expriment leur art sur MySpace, et par millions que des gens publient sur leur blog… et on nous parle d’un Internet meurtrier pour la création ? On dépasse un peu le cadre du manque de discernement là non ? On est même carrément les deux pieds dans la pure propagande. Je ne parlerai même pas du couplet sur les « règles » qui n’ont jamais été autant transgressées par un président que depuis l’élection de Nicolas Sarkozy… même les plus élémentaires, celles qui font le fondement de notre République, comme le respect de la séparation des pouvoirs au hasard.

Ce qui tue la création, c’est par exemple l’article 4 de la LOPPSI et tous les dispositifs sécuritaires appliqués à Internet. C’est en restreignant les libertés individuelles que l’on tue la création, en tuant un outil permettant l’exercice d’une liberté fondamentale… Restreindre les libertés de l’ensemble de la population sous des prétextes fallacieux est un acte de terrorisme.

Monsieur le président,

  • Sauvez nos otages ;
  • Sauvez nos retraites ;
  • Sauvez l’état de droit ;
  • Sauvez Willy ;
  • Sauvez nous des invasions martiennes ;
  • Sauvez ce que vous voulez… mais de grâce, foutez la paix à la création, elle n’a pas besoin de vous.

Illustration Design by Olybop

Naissance du Parti Pirate Tunisien

pptnC’est aujourd’hui un jour à marquer d’une pierre blanche pour les internautes de Tunisie : le Parti Pirate Tunisien est né ! C’est dans un contexte politique particulièrement délicat, où de jour en jour les libertés numériques s’amenuisent… et les libertés tout court, que cette formation politique, portée et soutenue par une organisation internationale, est née. La création d’un Parti Pirate Tunisien est donc un acte courageux qu’il convient de saluer à sa juste valeur. Il porte un élan démocratique nouveau auquel on ne peut être indifférent dans le contexte politique agité de ce pays. La censure des réseaux sociaux et du net en général en Tunisie est un fait, Facebook y est par exemple attaqué et la liberté d’expression se limite à ce que le pouvoir daigne y tolérer. Fabrice de Read Write Web a d’ailleurs pu tester la conception de la démocratie du pouvoir tunisien, ce qui lui aura valu quelques fatwas et Read Write Web est maintenant inaccessible dans ce pays.

Mais on le sait bien, la censure du Net ou l’art d’arrêter l’océan avec les mains, ça ne fonctionne pas, il suffit de s’équiper correctement pour contourner les systèmes de filtrage mis en place.

Autant vous dire que nous sommes ici quelques blogeurs qui seront très attentifs à  l’évolution de cette nouvelle formation politique et de ses membres qui portent la liberté d’expression et la défense des droits de l’homme en Tunisie.

Longue vie au Parti Pirate Tunisien !

La France en pointe d’un combat d’arrière garde

Madame la député Marland-Militello a une fâcheuse tendance à pourrir mon agrégateur RSS d’énormités ces derniers temps. La dernière en date se trouve ici et fait référence à l’adoption du rapport Gallo qui déroule des positions pro ACTA particulièrement dangereuses où des ayatollahs du copyright entendent mettre en place des horreurs, avec tous les risques que cela comporte. Madame Marland-Militello nous explique que grâce à Nicolas Sarkozy, la France est en pointe de la lutte contre le piratage… désolé madame la député, mais là, on est surtout à la pointe de la propagande risible et j’ai beaucoup de mal à m’ôter cette image que j’ai de vous entrain d’écrire ce billet la main sur le coeur et sur fond de musique des choeurs de l armée rouge. En fait, grâce à Nicolas Sarkozy, notre Internet est surtout au bord de l’insurrection et l’image pitoyable que nous offrons au monde est le produit direct de votre incompétence et du déni démocratique dont vous avez su faire preuve à maintes reprises.

On retrouve dans le billet de madame Marland-Militello TOUS les clichés les plus éculés de la propagande de bas étages :

  • Une illustration choc sensées vous terroriser afin de réveiller votre fibre patriotique face à l’ennemi, ici les « pirates » qui tuent les artistes ;
  • Un soutien inconditionnel et aveugle d’un texte même devant les manipulations les plus évidentes … mais bon c’est pas la première fois qu’on cautionne des bidonnages éhontés à la gloire du saint copyright, c’est en fait même devenu une véritable tradition;
  • le culte du chef, Nicolas Sarkozy, à qui notre député affirme toute sa dévotion ;
  • un vocable d’infostratège sans les données ni les arguments que l’exercice impose…

« …les eurodéputés ont montré qu’ils ne sont pas dupes de la campagne de désinformation menée par ceux qui, en France, se sont déjà illustrés par leur opposition dogmatique à l’HADOPI.

C’est très amusant cette expression : « l’opposition dogmatique à l’HADOPI »… en suivant les quelques liens ci-dessus, vous verrez qu’en plus du dogmatisme on a surtout des preuves incontestables de ces grossières manipulations. Madame Militello passe également à coté de deux ou trois choses très factuelles :

1° le texte qu’elle a défendu avec tant d’ardeur, de négation des évidences et de déni démocratique manifeste n’est toujours, à ce jour, pas appliqué ;

2° cette semoule législative à laquelle elle n’a d’ailleurs elle même pas compris grand chose, et là les exemples sont légion, comme par exemple cette énormité de la « sécurisation de la connexion internet », une chouette marmelade que j’invite madame Marland-Militello à nous définir, fait d’HADOPI un texte plus que bancal… ah non excusez moi … « étonnamment subtil » ;

3° Faut-il rappeler à madame la député que si le projet de loi initial s’est fait recaler au Conseil Constitutionnel c’est parque elle et certains de ses camarades, bien qu’élus de la République ont oublié ce vieux texte de 1789… la base de la base. Dans le privé, on appellerait ça une faute lourde. Aussi je vais me permettre de lui rafraîchir la mémoire :

12. Considérant qu’aux termes de l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789 :  » La libre communication des pensées et des opinions est un des droits les plus précieux de l’homme : tout citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté dans les cas déterminés par la loi  » ; qu’en l’état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu’à l’importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions, ce droit implique la liberté d’accéder à ces services ;

4° Rejetant systématiquement les propositions pourtant sensées de députés de sa propre majorité et en opposant à notre « opposition dogmatique » une godilloterie à toute épreuve dont elle n’arrive pas à démordre encore aujourd’hui, Madame Marland-Militello nous livre ici une réflexion de haut vol, digne de ce que l’on peut attendre d’un élu de la république (attention ne pas lire la citation suivante si vous ne vous êtes pas préalablement échauffé le neurone, un clacage est si vite arrivé…) :

Grâce au Président de la République, la France se place comme étant la pionnière de la lutte en faveur de la culture et de la création.

COMBO ! Comment peut-on, en si peu de mots, cumuler autant d’absurdités ? La France serait donc passée du rang de championne du monde du piratage (et si c’est pas de la propagande ça), à un modèle pour la culture et la création… rien que ça !  Il va falloir nous expliquer, madame la député, quel article de ce texte défend la création et qui fait aujourd’hui de la France un modèle pour le monde. J’ai beau chercher, je n’y trouve RIEN. S’il y a ici un seul artiste qui me lit et qui peut confirmer les dires de madame Marland-Militello en affirmant que depuis HADOPI il vit mieux, alors je m’inclinerai.

« La lutte contre le piratage est une priorité. Elle doit être menée à l’échelon mondial. La France a été pionnière en Europe, l’Europe doit maintenant être pionnière dans le monde.« 

Une véritable priorité pas de doute ! Enrichir les majors c’est une véritable priorité nationale… en temps de crise, fallait oser, bravo. Ça nécessite une police du Net, le viol du secret des communications, et la mise en place de dispositifs pouvant porter atteinte à la sécurité nationale… bravo madame la député, aucun doute, ce sont bien vos compétences sur ces domaines qui ont fait de vous le rapporteur de cette loi qui est un franc succès ! … il ne manque plus qu’à l’appliquer maintenant.

On attend donc avec impatience une mise en pratique des pistes fumeuses défendues dans le rapport Gallo à coup de routage BGP et d’inspection en profondeur de paquets, la création de la police mondiale du Net pour lutter contre les assassins d’artistes… et de reproduire sur toute l’Europe un truc qu’on ne sera même pas fichu d’appliquer en France tant le travail parlementaire a été bâclé… effectivement la France est en pointe, aucun doute là dessus madame la député. Mais le jour où vous aurez décidé de cesser de singer le comportement d’un supporter du PSG afin de faire le travail que vos administrés attendent de vous, peut-être pourrons nous passer à des choses plus constructives.

Libérez Hossein ‘Hoder’ Derakhsha, condamné à mort par le régime iranien

hoderVous noterez qu’il est très rare que je relaie ce genre d’information, mais là, franchement, c’en est vraiment trop. Hossein ‘Hoder’ Derakhshan est un célèbre journaliste et blogger irano Canadien (son blog est le blog en langue persane le plus visité, ce qui lui a valu le surnom de Blogfather). Rien ne peut justifier la condamnation à mort d’Hossein.

C’est un très actif contributeur de Wikipedia sur tout ce qui touche à l’Iran, ce qui lui aura valu une arrestation en territoire Allemand et un interrogatoire par les services secrets iraniens, ce qu’il dénonça publiquement… un affront pour Téhéran.

Emprisonné en Iran depuis le premier octobre 2008, il a été condamné à mort le 22 septembre 2010, pour collaboration avec les gouvernements hostiles au régime.

Vous trouverez sur ce site une pétition contre cette condamnation inacceptable :

http://www.freetheblogfather.org/

Voici donc un communiqué que je vous invite à très largement relayer, tous les bloggers qui sont attachés à la liberté d’expression doivent se sentir concernés par le sort de Hossein :

APPEL D’UNE JEUNE FRANCAISE, SANDRINE MURCIA, POUR LA LIBERATION IMMEDIATE DE SON COMPAGNON
HOSSEIN DERAKHSHAN, BLOGGEUR ET JOURNALISTE IRANO-CANADIEN, DETENU A LA PRISON D’EVIN EN IRAN.
URGENCE : LE PROCUREUR DE TEHERAN A REQUIS LE 22 SEPTEMBRE LA PEINE DE MORT A SON ENCONTRE.

SAUVEZ HOSSEIN !

« Je lance un appel à la communauté internationale pour la libération de mon compagnon, Hossein Derakhshan, bloggeur et journaliste irano-canadien, surnommé Blogfather, arrêté en novembre 2008 et détenu à la prison de Evin, Téhéran, Iran depuis lors. Nous venons d’apprendre hier que le procureur de Téhéran a requis la peine de mort. Les jours qui viennent pourraient voir cette sentence confirmée par les autorités iraniennes, alors même qu’il n’a fait qu’exercer son métier de journaliste.

L’urgence est donc totale.

A l’heure où toutes les grandes nations se réunissent à New York, dans le cadre de l’Organisation des Nations Unies, c’est au Président Ahmadinejad et à toute la communauté internationale, que je souhaite m’adresser pour qu’Hossein retrouve très vite la liberté, au nom des droits de l’homme et de la liberté d’expression des journalistes. »

déclare Sandrine Murcia, fondatrice d’une agence conseil en services numériques, compagne d’Hossein, avec lequel elle partage la passion des nouvelles technologies de l’information et de la communication.

Hossein Derakhshan (né le 7 janvier 1975), mieux connu sous le pseudonyme de « Hoder », est un journaliste irano-canadien, webloger basé à Toronto puis à Paris. Son blog, rédigé en persan et en anglais, est un des blogs persanophones les plus visités. Hossein Derakhshan établit un manuel d’utilisation du blog, en persan, à l’usage des Iraniens. Ce manuel connait un tel succès qu’en un mois, plus de 100 blogs en persan sont créés. Il existe maintenant des dizaines de milliers de blogs en persan. Ce qui lui vaut le surnom de « Blogfather ».

Hossein Derakhshan débute dans le journalisme en écrivant des articles sur Internet dans le journal réformiste Asr-e-Azadegan. En décembre 2000, il part vivre au Canada, à Toronto, où il commence son blog, en persan, le 25 septembre 2001. Son titre : Sardabir : khodam (Editor : myself).

En 2005, Hossein Derakhshan tient un discours à la conférence Wikimania de Francfort, en Allemagne. Alors qu’il quitte l’Allemagne, il est arrêté et interrogé par les services secrets iraniens au sujet de ses contributions au Wikipédia en persan, et au sujet de sonblog. Il refuse alors de présenter des excuses publiques, comme cela lui est demandé. Au contraire, il rédige un rapport sur ce qui vient de lui arriver, qu’il publie sur son blog. Il travaille alors pour Newsweek, the Guardian, New York Times notamment.

Hossein Derakhshan se rend deux fois en Israël et publiquement rend compte de ses voyages dans son blog pour «contribuer au rapprochement entre Tel-Aviv et Téhéran». Pour un citoyen iranien, se rendre en Israël est passible de la peine de mort.

Très attaché à la culture française, aux valeurs des Lumières, il s’installe à Paris avec Sandrine Murcia en 2007 pour exercer son métier de journaliste et de bloggeur. Il se prend de passion pour les philosophes post-modernistes tels Foucault, Derrida et Deleuze.

Hossein Derakhshan retourne à Téhéran en octobre 2008 pour couvrir le 30ème anniversaire de la Révolution Iranienne et les élections présidentielles de juin 2009. Il est arrêté au domicile de ses parents le 1er novembre 2008. Maintenu en isolation et soumis aux interrogatoires, son procès s’ouvre en juin 2010 à huis clos. Sa famille n’a pas été autorisée à assister aux séances de la cour ni à le voir. Le procureur de Téhéran a requis la peine de mort pour Hossein Derakhshan, accusé de collaboration avec des gouvernements hostiles au régime, d’actes de propagande à l‘encontre des intérêts de la République Islamique, d’insultes aux symboles religieux.

Aidez-nous à libérer Hossein Derakhshan !

A Paris, le 23 septembre.

  • Signez la pétition en ligne:

http://www.freetheblogfather.org/

  • Facebook: Libérez Hossein Derakhshan // Free Hossein Derakhshan

http://www.facebook.com/group.php?gid=37459792838

Contact:

Sandrine Murcia
[email protected]
+33 6 25 90 11 58

HADOPI : tu sécurises ou tu fliques ?

Au détour d’un commentaire lu sur Numérama en référence à l’amalgame volontairement fait dans ce billet entre la « sécurisation d’une connexion Internet » et la « sécurisation d’un site web », j’ai pu me rendre compte de l’efficacité de la propagande menées par le Ministère de la Culture… ils ont réussi à mettre un sacré bazar dans nos cerveaux. Je me suis donc essayé à un petit exemple fictif pour illustrer un fait : le dispositif prévu dans le texte de loi n’est pas fait pour sécuriser, mais bien pour fliquer.

Je vais donc reprendre ici cet exemple, une fiction pour le moment mais je suis prêt à vous parier que si le texte était en l’état appliqué au pied de la lettre, la réalité pourrait même dépasser la fiction. C’est l’une des raisons pour lesquelles j’expliquais l’année dernière sur TechToc.tv que nous avions déjà gagné et qu’HADOPI telle que nous la connaissons ne sera probablement jamais appliquée car comme le dit l’adage : à l’impossible nul n’est tenu. Et l’impossible, c’est justement sécuriser une connexion Internet, ce qu’on essaye de nous faire passer pour une obligation légale. Maître Capello ? Pas mieux que trois lettres ? L.O.L.

Voici le commentaire qui a motivé ma réponse :

« C’est quoi le rapport entre la non-sécurisation de sites Internet et la sécurisation de la ligne d’un abonné à Internet pour empêcher les téléchargements illégaux ?
Ah oui, il y a le mot « sécurisation » dans les deux parties de la phrase. Donc de manière simpliste, on fait un raccourci : du moment qu’ils ne sécurisent pas leurs sites, alors ils ne peuvent pas nous demander de sécuriser nos lignes. Alors que les techniques, les moyens et les enjeux n’ont strictement rien à voir.
Bien évidemment qu’une base SQL non protégée sur un site gouvernemental, ce n’est pas très sérieux. Mais quel est le rapport avec Hadopi et ses dispositions législatives ? Ce n’est pas parce qu’ils sont en faute que cela vous dédouanne d’appliquer la loi ! »

Notez que ce n’est pas le seul de ce cru, j’ai même pu en lire sur Read Write Web ou d’autres sites, ce qui justifie à mon sens une explication dont le but sera de dépoussiérer quelques notions et faire un peu le ménage dans les idées stupides que notre bon législateur a tenté de vous mettre dans le crâne (et il y est dans de nombreux cas parvenu).

Les faits

  • La loi Création et Internet mentionne une contravention pour non sécurisation d’une connexion Internet, sans pour autant définir le périmètre précis (essayez vous au Quizz, vous allez vite comprendre que juridiquement nous sommes là en face d’un concept particulièrement fumeux).
  • Pour que les données d’un serveur web soient accessibles il faut ? … une connexion Internet.
  • Pour qu’une machine se fasse compromettre, généralement, sur le Net, il faut … une connexion Internet et une vulnérabilité exploitable à distance (allant de l’utilisateur lui même qui ira cliquer sur un « i love you.exe jusqu’à une faille kernel… et entre ces deux extrêmes… il n’y a pas de limites.
  • C’est justement parce qu’entre ces deux extrêmes les limites n’existent pas, qu’AUCUNE solution logicielle de sécurisation au monde ne protègera jamais les utilisateurs de l’intégralité des risques liés à la nature du réseau… et à la nature du cerveau humain. Affirmer le contraire serait une bêtise.

La fiction

Une entreprise x dispose d’un extranet, son robots.txt indique un répertoire sensé être protégé qui ne l’est pas (au pif avec un beau .sh qui affiche en clair le mot de passe de la base de données Oracle du dit extranet). Un pirate y accède et pénètre l’extranet de l’entreprise, par escalation de privilèges ou en dumpant la base de données, il en prend le contôle de tout le réseau local de l’entreprise. Pour ce faire, rien de plus simple, avec un petit coup de dsniff, il s’empare de tous les mails du serveur de mail Exchange (assez pratique pour se faire renvoyer les passwords non ?), il a tous les mots de passe, tous les accès… voici un scénario malheureusement dramatiquement réaliste d’une compromission.

Puis, il se trouve que l’entreprise en question a une super bande pasante, du 100megas symétriques. Le pirate decide donc de se servir du NAS pour se faire sa médiathèque en ligne qu’il consulte en streaming via un flux chiffré sur un port non standard. Pour télécharger, il s’installe un client torrent en mode console, bien planqué là ou personne ne va jamais fouiller … dans le /opt par exemple.
La HADOPI envoie un mail que l’entreprise ne reçoit pas car elle ne le lit jamais, d’ailleurs, dans l’entreprise, personne ne sait si ce mail existe (le mail d’inscription utilisé pour ouvrir la connexion Internet chez le fournisseur d’accès).

A la réception du courrier recommandé (l’étape 2 de la procédure super pédagogique prévue par le texte), l’entreprise débusque le pirate sur son réseau mais n’a pas compris par ou il est arrivé. Elle supprime donc l’utilisateur ou change le mot de passe du compte utilisé par le pirate. Mais, souvenez vous, comme le pirate a dumpé la base de données et qu’il a récupéré des centaines de mots de passe en sniffant le réseau local de l’entreprise… et que l’entreprise n’a pas changé TOUS les passwords, notre pirate, pas décidé à abandonner sa connexion très haut débit depuis le fin fond de la Lozère, revient… puis un jour, après plusieurs incursions, un recommandé, et 3 audits internes (il faut pas que ça s’ébruite ce genre de choses vous comprenez, ça affolerait les clients de notre entreprise), l’entreprise se retrouve déconnectée du net.

Même l’Hadopipohardware, le Firewall Zyxel, acheté par l’entreprise et qui promettait une protection idéale contre HADOPI en filtrant les applications de peer to peer n’a rien vu venir.

Tout le système d’information de l’entreprise est donc rendu inaccessible depuis l’extérieur et ses salariés sans connexion dans les locaux se retrouvent au chômage technique.

Comme une circulaire de la chancellerie indique que tout cas un peu compliqué ne devra surtout pas être envoyé devant un tribunal… et que même si c’était possible la connexion est déjà coupée.. et que l’entreprise n’a pas le droit de souscrire à une autre offre… l’entreprise ferme ses portes et fait faillite incapable d’honorer une communication basique avec ses clients. Il reste le télétravail et peut être aller faire les rendez-vous clients au Mc Donald du coin.

Que nous apprend cette petite histoire ?

Il s’agit d’un constat évident, que malheureusement trop peu de personnes semblent avoir assimilé :

  • La sécurité ce n’est pas un produit mais ensemble de processus
  • HADOPI propose l’élaboration de solutions de « sécurité » dont la fonction n’est pas de prévenir de risques d’intrusion externes mais bien de fliquer des usages internes… ce qui inéluctablement conduit à un risque sécuritaire, c’est à dire, tout le contraire de ce qu’on tente de vous vendre.

Pour vous faire passer des vessies pour des lanternes, notez qu’il aura fallu :

  • 577 gus dans un hémicycle (en théorie), beaucoup moins en pratique
  • 2 HADOPI
  • un recallage au Conseil Constitutionnel
  • un site web de propagande à 80 000 euros pour 1 mois d’uptime (jaimelesartistes.fr)
  • la machine à spam la plus chère du monde…

… j’ai donc encore beaucoup de route à parcourir pour expliquer ça à qui veut l’entendre, je n’ai pas les mêmes moyens que ceux déployés par l’Etat, mais aidé par quelques gus, nous devenons tous des créateurs de possible… non ?

Le scandale des sites gouvernementaux qui se négligent

white hat hacking

Vous m’avez, moi comme d’autres, souvent entendu pester sur le stupide délit de négligence caractérisée et l’obligation légale faite à l’internaute de sécuriser une belle abstraction légale : « la connexion Internet». Comme sur Internet plus qu’ailleurs, niveau sécurité, les conseilleurs sont rarement les payeurs, nous avons décidé, avec Paul Da Silva et Paul Rascagneres (RootBSD), d’aller jeter un oeil sur le pas de la porte des conseilleurs… comme on s’en doutait : c’est moche. Nous pourrions vous dire que nous avons été surpris… mais soyons sérieux, nous ne l’avons pas été le moins du monde.

Dans le titre, comme vous le constatez, j’emploie le terme un peu fort de scandale. Je vous dois une explication là dessus. Avoir un site web qui comporte des trous de sécurité, ce n’est pas une honte, ça arrive à tous, on sait qu’une faille 0day (même si les 0day sont dans les faits très rarement exploités) peut suffire à compromettre une machine, puis par effet de rebond, tout un système d’information, puis plusieurs. Il suffit d’exploiter les informations collectées à un endroit pour se retrouver résident d’un système. Le vrai scandale, c’est quand un prestataire alerte d’une faille importante et que les personnes en charge d’un  site web gouvernemental qui exposent des données personnelles de fonctionnaires refusent à ces prestataires , depuis des mois, des années, l’intervention nécessaire à la correction de cette vulnérabilité… pas vu pas pris…

Ce que le texte d’HADOPI appelle pudiquement le manque de diligence à sécuriser son accès doit il être appliqué aux internautes ? En ce qui nous concerne, nous avons la conviction qu’il est bien plus grave qu’un site gouvernemental « manque de diligence » à fixer des trous de sécurité qui par escalation de privilèges peuvent mettre en péril certaines infrastructures sensibles de l’État… et d’aller crier à la presse que nous sommes la cible de hackers chinois

Il faut donc que cette hypocrisie cesse au plus vite, ou que des garanties sérieuses soient données aux particuliers pour être en mesure de se défendre. Si cette absurde circulaire de la chancellerie était appliquée, à ce jour nous pourrions très bien faire déconnecter ou bloquer  un site gouvernemental (à quand le blocage des sites sauce Loppsi pour lutter contre les pirates ?) en y uploadant quelques mp3 et quelques divx… comme ça, juste pour rigoler.

Puisque l’Elysée ne semble pas convaincu de la nécessité de se référer à des experts avant d’orienter une législation vers une bourde certaine, nous allons concourir à l’y encourager un peu.

Rentrons dans le vif du sujet

Nous découvrions récemment avec surprise que le gouvernement, qui avec la loi Hadopi instaure le délit de négligence caractérisée, n’était pas mieux logé que les autres – bien au contraire. Le délit de négligence caractérisée vise à punir celui qui, par manque de compétences techniques notamment, ne « sécurise » pas son accès à internet si celui-ci venait à être utilisé à des fins de piratage (au sens de contrefaçon… il est important de le préciser vu que même le terme de piratage est ici sujet à caution). Une belle hypocrisie quand on sait que le niveau technique requis pour sécuriser ce qui est en mesure de l’être par un abonné final est très élevé et que, même comme cela, il est toujours possible d’usurper l’identité d’un abonné pour le faire paraître coupable (avec cette fois un niveau de compétences très relatif).

Nous (RootBSD, Bluetouff et Paul) avons décidé d’élever le débat et de vérifier si l’Etat lui même applique à son parc de sites internet les mêmes recommandations que celles qu’il souhaite voir ses concitoyens adopter.

A l’attaque !

Pour ce faire la méthode a été très simple : quelques minutes par site, des recherches de failles très basiques et à la portée de n’importe quel pirate en herbe… Occasionnellement des découvertes de documents dans des répertoires accessibles à tous et, si d’aventure on venait à tomber sur une faille un peu plus sérieuse (oui c’est le cas) passer un peu plus de temps dessus pour essayer de la faire parler. Tout l’art étant de la faire parler sans l’exploiter afin de ne pas se rendre coupable d’intrusion.

Le résultat est au delà de ce que l’on aurait pu imaginer en lançant, le 29 août vers 23h, ce capture the flag d’une envergure sans précédent (3 gus dans un garage) qui se finira le 30 août aux alentours de la même heure… Nous avons décidé de patienter jusque là pour publier ce billet mais l’actualité nous a enfin convaincu à vous livrer les résultats de nos travaux nocturnes.

Comme dit précédemment nous nous sommes concentrés sur des failles simples à trouver ou à exploiter et la liste de celles découvertes est assez évocatrice :
  • Une vingtaine de XSS ;
  • 2 LFI ;
  • Des dizaines de documents accessibles au publics et qui ne devraient pas l’être (certains marqués « confidentiel ») ;
  • Des authentifications défaillante (ou inexistantes !) d’accès à des intranets ;
  • Un grand nombre de fichiers robots.txt qui ont bien orienté nos recherches (merci 🙂 ) ;
  • Des accès aux zones d’administration / phpmyadmin comme s’il en pleuvait ;
  • Des CMS non mis à jour depuis plusieurs années ! Et présentant des vulnérabilités bien connues ;
  • Des logs d’envois de mails / newsletter / de connexion FTP / …
  • Un site en debug qui laisse, si l’on saisit la bonne url, voir les identifiants et mot de passe de connexion à la base de données ;
  • Un script SQL de génération de base de données.
Le XSS ?

Le XSS (Cross Site Scripting) est une faille qui permet de faire exécuter un script arbitraire (initialement non prévu par le site sur lequel on va le faire exécuter) en changeant certains paramètres de l’URL.
Il peut permettre de voler des identifiants de session ou des cookies si il est suffisamment bien utilisé et que ladite URL est envoyée à une personne connectée. Il permet aussi de transformer l’affichage du site pour afficher, par exemple, des formulaires invitant à la saisie de données personnelles qui seront ensuite transmises à un autre site. Pour finir il est egalement possible via du javascript executé sur le navigateur de récupérer des informations personnelles (historique, geolocalisation, …) mais également de récupérer des informations sur le reseau auquel est connecté la personne (scan du reseau,…).

Le LFI ?

Le LFI (Local File Inclusion) est une faille qui permet d’inclure un fichier présent sur le serveur dans la page en cours de visionnage. Ceci peut permettre par exemple de récupérer un fichier de configuration, des logs, certains fichiers confidentiels, … Dans certains cas de figure (nous l’avons vu lors de notre exercice) il est possible d’exécuter du code (php) et donc d’avoir un accès distant sur le serveur vulnérable. Cet accès peut permettre de voir des fichiers, d’en éditer (pages web,…), de lancer des programmes, de rebondir vers d’autres serveurs, télécharger des fichiers (illégaux ?)…
Pour l’exploiter il faudra spécifier le chemin du fichier à récupérer dans l’URL mais ceci est relativement simple à faire lorsque le serveur qui héberge le site en question autorise le listing des répertoires ou l’affichage d’erreurs comme c’est le cas sur presque tous les sites que nous avons visité.

La liste !

Pour des raisons évidentes (on préfère le confort de notre garage) nous ne pouvons pas diffuser les failles trouvées, nous allons en revanche vous lister publiquement tous les sites qui présentent ces vulnérabilités. Nous vous livrons cependant quelques éléments – les moins graves ou deja corriges – découverts pendant cette chasse à la faille.
Une version non censurée de cette liste sera livrée aux autorités afin que ces dernières puissent faire suivre à qui de droit pour que ces failles soient corrigée, ainsi qu’à quelques journalistes si ces derniers s’engagent à ne pas diffuser ces failles tant qu’elles n’ont pas fait l’objet d’une correction.

Ce qui est montrable car corrigé :

  • Sur le site http://interactif.service-public.fr, une splendide Local File Inclusion permettait d’executer du code PHP depuis le site référent en lisant un peu les logs de sa propre connexion. En formattant une URL bien sentie comme celle ci. Il devenait par exemple possible d’obtenir le mot de passe de la base de données.Voici une capture d’un log Apache obtenu par local file inclusion

LFI Service Public
  • Nous avions également pu constater à cette période non moins splendide XSS dans l’application de recherche de l’Assemblée Nationale que l’on retrouvait d’ailleurs sur d’autres sites gouvernementaux dans sa version non patchée. Nous n’allons pas revenir là dessus, tout est ici.
Ce qui n’est pas montrable pas pour l’instant :
Nous avons identifié des vulnérabilités plus ou moins graves sur les sites suivants :

http://questionsfrequentes.service-public.fr/
http://www.stats.environnement.developpement-durable.gouv.fr/
http://www.csti.pm.gouv.fr/
http://www.somme.pref.gouv.fr/
http://questionsfrequentes.service-public.fr/
http://larecherche.service-public.fr/
http://ddaf18.agriculture.gouv.fr/
http://www.service-civique.gouv.fr/
http://www.immigration-professionnelle.gouv.fr/
http://www.prospective-numerique.gouv.fr/
http://forum.assemblee-nationale.fr/
http://agriculture.gouv.fr/
http://www.rhone-alpes.travail.gouv.fr/
http://www.cnml.gouv.fr/
http://www.projetsdeurope.gouv.fr/
https://www.adele.gouv.fr/
http://www.education.gouv.fr/
http://www.pollutionsindustrielles.ecologie.gouv.fr/
http://recherche.application.developpement-durable.gouv.fr/
http://www.projetsdeurope.gouv.fr/
http://www.cnml.gouv.fr/
http://www.premar-manche.gouv.fr/
http://recherche.application.equipement.gouv.fr/
http://www.coe.gouv.fr/
http://www.ofpra.gouv.fr/
https://admisource.gouv.fr/
http://www.datar.gouv.fr/
http://www.ira-lyon.gouv.fr/
http://www.droitsdesjeunes.gouv.fr/
http://sig.ville.gouv.fr/
http://www.telecom.gouv.fr/
http://www.hci.gouv.fr/
http://www.oncfs.gouv.fr/
http://www.cas.gouv.fr/
http://www.permisdeconduire.gouv.fr/
http://www.europe-en-france.gouv.fr/
http://www.fonction-publique.gouv.fr/
http://www.cete-nord-picardie.equipement.gouv.fr/
http://www.minefi.gouv.fr/
https://mioga.minefi.gouv.fr/


Qu’en déduire de l’applicabilité de la négligence caractérisée ?

Ce type de failles est très simple à exploiter, prévenir ou corriger. Cependant elles sont bien là, bien présentes, dans des institutions qui disposent d’une direction informatique et de moyens, là où le particulier est lui abandonné à son triste sort, condamné à faire confiance à une solution de « sécurisation », en fait un HADOPIPOWARE qui crée plus d’insécurité qu’elle n’en crée.

Dans ce contexte, il nous apparait injuste, voire hypocrite, de faire peser sur le particulier une présomption de culpabilité et de lui interdire d’office tout droit à un procès équitable alors qu’il est lui même victime d’une exposition de ses données personnelles.

Rappelons au passage qu’une institution, même publique, au même titre qu’une entreprise, a elle aussi un devoir de sécurisation des données personnelles de tiers qu’elle stocke. Nous avons ici pu constater que ce n’était pas tout à fait au point. Si la multitude d’entreprises qui a travaillé sur ces différents sites n’est pas capable de sécuriser son travail alors qu’il s’agit de leur métier comment peut-on demander à la boulangère du coin, au maçon du centre ville ou à n’importe quel non-expert en le domaine de faire mieux ?… Et pourtant, tout indique que les entreprises en question étaient bien au courrant de certaines de ces vulnérabilités, en fait, elles en auraient même avertis les administrations concernées qui ont semble t-il manqué de diligence à combler les trous. Nous tenons évidemment ces informations de la bouche de certains de ce prestataires, et nous croyons en leur bonne foi.

Certaines failles découvertes ici (en 24h est-il besoin de le préciser à nouveau ?) permettent de prendre le contrôle du serveur si elles sont exploitées correctement. Qu’arrivera-t-il quand un pirate moins bien intentionné que nous décidera d’en exploiter une pour prendre le contrôle d’un serveur loué par l’état et d’y lancer des téléchargements par exemple ? Un site web, quelques données personnelles, un ou deux mots de passe, et voici une banale histoire de système sensible compromis…

Les sites visités et les failles ici révélées, nous permettent de prendre la mesure de l’inadaptation de la réponse proposée par la loi Création et Internet. Les premiers envois de mails que l’on nous promet imminents interviennent alors qu’aucun dispositif des sécurisation labellisé par la HADOPI n’a pas encore vu le jour. Il est d’ailleurs probable qu’à moins de se compromettre dans une labellisation hasardeuse sur des dispositifs qui opèrent une surveillance mais ne sécurisent en rien une connexion, ce projet reste lettre morte.En attendant, la consultation de la Haute Autorité sur cette question a été prolongée jusqu’à fin octobre, il est important que les professionnels qui y répondront gardent en tête une chose :
  • Soit on spécifie un dispositif imaginaire qui patchera même les failles des applications des postes clients alors que les éditeurs de ces applications ne les patchent pas eux mêmes.
  • Soit on spécifie un mouchard avec toutes les conséquences en terme de sécurité et de viol de vie privée que ceci implique.

… messieurs, vous êtes maintenant face à vos responsabilités. Soit nous poursuivons une stupide course à l’armement que l’État ne peut gagner, soit les autorités, les hackers et les politiques se mettent autour d’une table pour entamer un dialogue sérieux et éclairé.

Par 3 gus dans un garage
Paul Da Silva
Paul Rascagneres (aka RootBSD)
Olivier Laurelli (Bluetouff)