Monsieur le Ministre de la Culture, je vais vous aider à comprendre…

radeau de la méduseNumérama rapportait aujourd’hui, que dans une interview accordée à France 24, notre Ministre de la Culture qui ne comprend pas comment nous en sommes arrivés là avec HADOPI. C’est quelque chose que j’avais déjà tenté d’expliquer ici à propos de la négligence caractérisée. Frédéric Mitterrand semble surpris du bourbier qu’est HADOPI :

« Je peux comprendre, je n’ai aucune envie de diaboliser les adversaires. D’abord parce que ça n’est pas dans ma nature, et puis en plus quand il y a des adversaires très très résolus, c’est qu’ils ont une pratique, c’est qu’ils ont des habitudes, etc. Il faut essayer de comprendre pourquoi ils en sont arrivés là »

Je vais donc essayer monsieur le Ministre, de vous apporter quelques réponses, rien d’exhaustif, mais quelques points qui font que cette loi, en l’état, ne peut être acceptées des internautes.

Les odieuses tractations entre gens tous d’accord (ou presque)

Les accords Olivennes, qui sont aussi et surtout les accords de l’Elysée, ou plutôt les accords du Fouquet’s, ont commencé à éveiller notre attention. Tout ceci s’est joué de manière convenue entre personnes toutes d’accord entre elles à l’exception de Xavier Niel. De par sa fonction, le dirigeant de Free ne pouvait pas ne pas être convié. Il a donc fallu lui faire une forme de chantage (à coup de licence 3g) pour qu’il consente à aller à reculons signer une feuille blanche, chose qu’il confiera peu après à la presse. Comble du cynisme Monsieur le Ministre, votre prédécesseur, Madame Albanel a osé appeler cette mascarade un « consensus ». On voit bien aujourd’hui ce que donne ce consensus.

Ceci ne trompe aujourd’hui plus personne, il est maintenant de notoriété publique que ces pseudos accords étaient uniquement destinés à mettre en place l’inacceptable… et devinez quoi… 3 ans après c’est toujours aussi inacceptable et inaccepté. Internet a une mémoire monsieur le Ministre.

Je frappe d’abord et je discute après

L’intégralité des débats parlementaires sur HADOPI ont offert un triste spectacle aux internautes qui se sont passionnés pour ce texte qui entend modifier plus de 10 ans d’usage . Certes, vous êtes arrivés en cours de route, mais jetez au moins un oeil sur tout ce que vous avez raté, le médiakit de la Quadrature du Net, que votre prédécesseur qualifiait de 5 gus dans un garage, pourrait vous être utile. Tout y est passé : listes blanches, filtrage, sur-référencement de l’offre légale (atteinte manifeste à la libre concurrence), présomption de la culpabilité, atteinte à la liberté d’expression,double et triple peine… et hop une censure au Conseil Constitutionnel. Puis HADOPI 2, passage en force, contournement juridique de l’avis du Conseil des Sages grâce subterfuge de l’ordonnance pénale… bien joué, mais ça ne sera pas suffisant.

Malgré ces signaux, le gouvernement a jugé opportun, de passer en force manifestant un profond mépris de notre démocratie, un mépris de l’opposition, même quand cette opposition était dans son propre camp et prodiguant des conseils souvent très avisée.

Bilan, aujourd’hui nous avons :

  • toujours pas d’offre légale (elle est si pitoyable que c’est le contribuable qui en est de sa poche pour essayer d’en faire la promotion… et je ne parle même pas de la risible mise en place) ;
  • toujours pas de moyen de sécurisation ;
  • des mafias s’enrichissent grâce à HADOPI.

… au moins il y a une certaine constance dans la méthode : on frappe d’abord, on discute après. On stigmatise un problème (la rémunération des auteurs) sans y apporter de solution. Et quand on se trouve dans ce genre de situation, il ne fait pas l’ombre d’un doute que l’on fait partie intégrante du problème. Donc non HADOPI n’est pas une solution, elle est le problème. Vous pouvez croiser tous les doigts que vous voulez Monsieur le Ministre, HADOPI ne peut fonctionner, et ne fonctionnera pas. Sur Internet on ne peut pas envoyer de CRS pour disperser les manifestants, votre gouvernement a voulu le conflit, il a maintenant une guerilla sur un champ de bataille qu’il ne connait pas et pour lequel il n’a pas d’arme adaptée. Les internautes ne lancent plus de pavés, mais des octets. Il va vous falloir faire face au mieux à un cyber 68, au pire un superbe bourbier qui pourrait très bien dégénérer.

Multiples manifestations d’incompétence

Un bon lien valant mieux qu’un long discours, je vous invite à lire et visionner ceci. Je ne sais pas pour vous, mais personnellement je ne peux me résigner à accorder le moindre crédit à ce texte quand je vois le sérieux avec lequel il a été voté. HADOPI est une blague, depuis le début, et si la HADOPI espère faire peur avec ça, et bien c’est pas gagné ! Au mieux ce texte fait rire, au pire il agace, mais faire peur… bon allez, si ça vous le fait abroger, pas de problème je suis prêt à déclarer publiquement que je suis mort de trouille et on en parle plus et tout le monde est content.

HADOPI défend les intérêts des copains du Fouquet’s

Le cynisme d’HADOPI ne s’arrête pas là. Êtes-vous en mesure, monsieur le Ministre, de me citer un seul nom d’artiste qui a gagné ne serait-ce qu’un seul centime grâce à ce texte ? Moi, d’ici, ce que je vois, c’est que le contribuable injecte 50 millions d’euros sur deux ans en période de crise dans une odieuse carte musique jeune, en plus de tous les cadeaux qui ont été faits aux industriels de la culture. Mais les artistes sont bien les grands oubliés… que faites vous pour eux avec ce texte monsieur le ministre ? Les artistes que je connais sont dans leur grande majorité dans une précarité assez extrême, et vous distribuez des millions à tour de bras à une industrie qui se porte parfaitement bien ! C’est indécent. Faisons un peu l’addition pour le contribuable d’ailleurs …

Et non, ce n’est pas gratuit !

  • Débats parlementaires : environ 180 millions d’euros (nombres de Parlementaires multiplié par le salaire en jours, multiplié par le nombre de jours de débats + commissions parlementaires… allez je suis sympa, je ne compte même pas les salaires ministériels, ni ceux des attachés parlementaires et ministériels… avec ça on pourrait facilement doubler le coût de la mascarade)
  • Un site de propagande, jaimelesartiste.fr : 80 000 euros pour 3 semaines d’uptime.
  • Carte musique Jeune : 50 millions d’euros sur 2 ans
  • Budget de la HADOPI : 12 millions par an, on va lui donner une espérance de vie de 2 ans, jusqu’en 2012 et partir sur une enveloppe globale (surement sous estimée) de 22 millions d’euros
  • Identification des internautes : quelques patates « indolores » aux dires de Christine Albanel soit 8,5 euros, multipliés par 50 000 adresses IP par jour, multiplié par 365 jour dans l’année : 155 125 000 euros ! Comme je ne crois pas un instant au chiffre annoncé de 50 000 saisines par jour, on va être gentil et tabler sur 5 000 par jour, ce qui nous fait une enveloppe déjà confortable de 15,5 millions d’euros, auquel on ajoutera la remise spéciale faux cul de FAI (ce gens qui font de la pub pour du téléchargement illimité) concédée par Orange, Numéricable et SFR, il faudra peut-être un jour dédommager Free, tablons sur un timide 4 millions d’euros.
  • … je m’arrête là parce que je suis en train de perdre mon calme, mais il faudra ajouter à ça encore une tournée de débats parlementaires pour faire sortir ce texte de notre corpus législatif, les frais de dédommagement en justice des « erreurs » de l’HADOPI… la facture totale en 2012 pourrait s’élever assez facilement à un demi milliard d’euros si on veut vraiment appliquer ce texte ! Et à côté de ça on rabote sur les jeunes entreprises innovantes qui sont l’avenir de nos emplois et l’un des moteurs de notre croissance pour économiser 50 millions d’euros !

… tout ça pour un texte inapplicable qui sera abrogé et dont nos enfants se moqueront pendant des dizaines de générations. Dans un siècle, HADOPI sera étudiée dans les classes d’histoire comme un épisode tragicomique du 21e siècle…

Et après ça, Monsieur le Ministre, vous vous étonnez que l’opposition à ce texte soit si importante ? Moi pas… je trouve même parfaitement logique que la pilule de la réforme des retraites passe mieux que celle d’HADOPI.

Les parlementaires de la honte

homer internetEn faisant ma petite review du reveil, je suis tombé sur le billet de Korben qui s’interroge sur l’entêtement aveugle de l’HADOPI sur cette histoire de logiciel de sécurisation, intimement liée au délit de négligence caractérisée. Je suis globalement tout à fait d’accord avec lui mais je préciserai simplement deux ou trois points.

On ne peut pas vraiment parler d’entêtement de la Haute Autorité, le mal est plus profond : il est inscrit dans la loi. Toutes les idioties les plus énormes qui font que la Haute Autorité est actuellement embourbée dans ce Vietnam est uniquement du à l’entêtement du législateur, et pour être précis, à son manque de courage face à la volonté de l’Elysée. Il y a tout d’abord les sénateurs, qui de droite comme de gauche, on voté un texte auquel ils ne comprennent strictement rien, et il y a ensuite, chose plus grave, une partie des parlementaires qui savaient très bien que cette loi était mauvaise et dangereuse, qu’elle allait contre l’intérêt commun… mais qu’importe, en bons godillots et par pur calcul de leurs propres intérêts, ils l’ont quand même voté… ce n’est pas là la conception que je me fais de notre République et je vais aller encore plus loin.

Pour l’immense majorité des parlementaires, on ne me fera pas croire que les quelques élus qui ont daigné être présents pour lever le bras au moment du vote (alors qu’ils étaient absents pendant les débats) ont compris plus 30% des enjeux du texte qu’ils ont votés.

Hadopi : Le pire du pire de l’assemblée

Vous n’allez pas non plus me dire qu’une personne comme le sénateur Masson a capté un broc de ce qu’il a voté :

Comme moi hier, Numerama s’interrogeait sur la capacité des parlementaires à voter un texte qu’ils ne comprennent pas, en service commandé, parce que Nicolas a décidé que… même si c’est une monumentale idiotie et que tout le monde le sent bien dans son fort intérieur.

Guillaume évoque cet effrayant billet de Streetpress dans lequel le sénateur Hérisson qui préside le groupe du Sénat chargé des communications électroniques, fait la démonstration de son incompétence crasse. C’est une véritable honte pour notre République, c’est indigne et c’est particulièrement indécent. Monsieur Herisson n’est pas à sa place à la tête de ce groupe et la moindre des choses après cette démonstration pitoyable, serait, au minimum, qu’il abandonne la présidence de son groupe sur les questions de communications électroniques. Il n’a manifestement strictement rien à y faire, même s’il le faisait bénévolement. Dans une entreprise, ce genre de boulette, c’est la porte ! Jugez sur pièce :

Pour HADOPI, la Neutralité des réseaux comme tout ce qui touche à l’écosystème du numérique, on assiste systématiquement à un flagrant délit d’incompétence doublé d’une ingérence… et ça c’est grave, c’est énervant, ça laisse un arrière goût d’injustice… c’est révoltant !

Le pire, c’est que ceci ne semble pas choquer grand monde. La politique en France aujourd’hui se résume à des courbettes devant l’hyper présidence. Mon grand père qui était député doit se retourner dans sa tombe. Le libre arbitre et le courage ne sont pas des valeurs dont la majorité de nos parlementaires peuvent se targuer. Ajoutez à ceci un muselage dans les règles de l’opposition et vous obtenez une République de la honte dont les valeurs sont devenues des produits d’exportation.

Heureusement, nous n’avons pas à avoir honte de tous nos parlementaires, il y a encore un soupçon d’espoir, et à ce titre je tenais à saluer le courage politique de Laure de la Raudière (UMP) qui fait un travail de fond assez impressionnant sur les questions du numérique qu’elle maitrise parfaitement (une ressource rare dans l’hémicycle), et qui a dernièrement eu le courage de proposer, contre l’avis de sa majorité, deux amendements, dont un de suppression, concernant les nouvelles dispositions sur le statut de Jeune Entreprise Innovante.

L’assemblée casse le statut Jeune Entreprise Innovante

envoyé par sauvonslesjei. – L’info internationale vidéo.

Faut-il réguler la Neutralité du Net ?

neutrality

Je ne pensais pas avoir un jour à me poser cette question : faut-il que le législateur intervienne pour préserver un semblant de neutralité des réseaux ? J’ai plus de 15 ans de net derrière moi, mes Internets à moi se portent très bien et j’ai un peu de mal à me figurer que le fait que des politiques s’en mêlent puisse apporter quoi que ce soit de positif. Cette question m’est simplement venue au détour d’un tweet de Ludovic Penet (si vous ne le connaissez pas encore et que ces questions de neutralité vous intéressent, faites chauffer votre reader RSS, le monsieur sait de quoi il parle et il en parle très bien).

Tout est parti de ce billet où je revenais sur la réponse de CCIA à la consultation de l’HADOPI sur les moyens de sécurisation. Les poids lourds du Net (Yahoo, Google, Microsoft, Facebook…) mettaient les deux pieds dans le plat en contestant la légitimité de l’HADOPI dans sa mission toute neuve de sauver les internautes des méchants pirates qui utiliseraient leur connexion Internet pour downloader le dernier Lady Gaga. Dans ce billet, je m’amusais un peu de voir ces géants du Net se réveiller 2 ans après la bataille alors que Christine Albanel criait à qui voulait bien gober ses sornettes, que les accords Olivennes, à l’origine de la loi création et Internet, étaient issus d’un large consensus. Manque de bol, il semblerait que les principaux acteurs du Net (les internautes, les grosses entreprises du Net, ou encore l’ASIC) n’aient pas été invités à participer à ce large consensus… et oui, un consensus c »est toujours plus simple quand on est tous d’accord avant de commencer à causer… évidemment il y en a toujours un pour l’ouvrir mais quand on a une licence 3G à troquer, c’est assez simple de le faire plier. Le soucis c’est qu’une fois votée, il faut bien l’appliquer cette loi… et c’est là qu’on s’étonne de voir des entreprises, comme Google, Yahoo ou Microsoft, que l’on pensaient toutes « consensualisées à mort », fustiger de manière véhémente le produit direct de ce consensus… voilà pour le contexte.

La discussion de fond maintenant

Quand Ludovic a réagi à ce billet, il m’a fait remarquer que je soutenais implicitement une atteinte à la neutralité. Je n’aurais pas relevé si ceci ne venait pas de Ludovic. S’il dit ça, c’est qu’il y a forcément un fond de vérité et quelque chose aurait donc échappé à mon analyse… ok, creusons.

Attention, sur les questions de neutralité, Google, Microsoft et Yahoo ou Facebook ne sont certainement pas à mettre à la même enseigne. Quoi qu’on en dise, Google s’est toujours montré très respectueux de la neutralité du Net, et pour cause, c’est en grande partie grâce à cette neutralité que Google est devenu ce qu’il est… et que d’autres, un jour, pourront aspirer à le détrôner. A contrario, Microsoft a très longtemps mené une politique de fermeture, il aura par exemple fallu attendre 2010, pour que dans sa grande mansuétude, Microsoft se décide à faire un navigateur qui respecte les standards du W3C.

Ce que Ludovic voulait me faire remarquer, c’est que tout ce petit monde a forcément un intérêt à être contre toute régulation. Les sociétés privées ont envie de continuer à tenir les rennes, à innover et à… brider un peu à leur manière le Net pour diriger les utilisateurs sur leurs services et pas celui du voisin… Et oui, Ludovic à raison, mais je reste assez perplexe, quelque chose me chiffonne dans ce raisonnement…

Toujours est-il qu’en désignant HADOPI comme illégitime dans sa mission de spécification d’un logiciel de sécurité labellisé et créant une incitation légale à acheter tel dispositif plutôt que tel autre, la CCIA met le doigt sur une entrave à l’innovation et sur un petit soucis de distorsion concurrentielle assez intéressant. Or la CCIA oppose cet argument qui est de dire que dans une société qui se dit libérale, on laisse le marché faire, on ne lui impose pas de ligne directrice susceptible de nuire à l’innovation et d’entraver la concurrence. Je vois par exemple assez mal la HADOPI préconiser le pare-feu par défaut de Windows comme une solution fiable de protection, mais est-ce bien l’efficacité de la protection des utilisateurs qui est recherchée par la HADOPI ? N’est-ce pas plutôt la protection du droit d’auteur qu’elle cherche à protéger en incitant vivement l’utilisateur à installer un moyen de sécurisation ?

Alors on régule ?

Au moment où je suis en train d’écrire ces mots, je n’ai pas la réponse à cette question et bien malin celui qui peut m’en donner une parfaitement argumentée. En revanche j’ai quelques observations assez factuelles à formuler  :

  • Premier constat : avant que les politiques ne commencent à y mettre leur nez, le Net fonctionnait très bien sans eux, ouvert et neutre, personne ne se posait d’ailleurs la question il y a une dizaine d’années, on bouffait du kilo-octet tout neutre et ça ne perturbait personne.
  • Second constat : en France, TOUTES les lois qui concernent Internet ont eu pour seul effet (voulu ou pas) d’entraver son ouverture et sa neutralité au bénéfice de quelques uns et au détriment du plus grand nombre.
  • Troisième constat : les atteintes à la neutralité sont jusque là du fait de deux entités, il s’agit soit d’états, soit de FAI (systématiquement du côté de ceux qui détiennent des infrastructures… en toute logique). Un état porte atteinte à la neutralité généralement pour de mauvaises raisons (fliquer ou materner sa population), les FAI, eux, le font pour des raisons économiques.

Il y a deux points capitaux qu’il semble donc de bon ton de dissocier :

  • l’infrastructure (les tuyaux)
  • et les services (le contenu).

Nous avons une particularité en France, c’est que ceux qui détiennent les infrastructures sont également éditeurs de contenus. Il est donc facile de comprendre, partant de là, qu’un opérateur préfère qu’on utilise SON infrastructure pour accéder à SES contenus plutôt qu’à ceux des voisins… et comme tous les éditeurs de services ne sont pas FAI, le rapport de force peut très vite tourner en la défaveur des entités qui ne possèdent ou n’ont accès à aucune infrastructure.

Je vois ici 3 issues possibles :

  • On régule en interdisant aux FAI d’être éditeurs de contenus (on peut toujours rêver).
  • On régule uniquement au niveau des infrastructures physiques, particulièrement si elles sont financées tout ou partie par des fonds publics. Il s’agirait d’inscrire dans la loi que n’importe quel acteur puisse accéder à ces infrastructures pour délivrer un service, qu’il soit local ou national. C’est de loin la solution la plus séduisante à mon sens et c’est surtout celle qui répond le plus intelligemment à cette problématique complexe.
  • On ne régule rien du tout et on laisse faire.

De ce que j’ai vu en 5 ans d’acharnement des politiques pour tenter de briser cet espace de liberté qu’est Internet (à coup de filtrage, blocage, croisade contre l’anonymat, ou encore cette escroquerie intellectuelle du droit à l’oubli numérique) m’incite à penser qu’on ferait mieux d’attendre que certains de nos élus ne prennent leur retraite avant que l’on envisage de pondre une loi sur la neutralité du Net… au risque de se retrouver soit avec un texte qui n’a ni queue ni tête, à l’image d’HADOPI, soit avec une super occasion pour l’Elysée d’officialiser la fin en grande pompe d’un Internet neutre, outil indispensable à l’exercice de la liberté d’expression… pour paraphraser le Conseil Constitutionnel.

Un marché de la sécurité complexe

Il faut d’abord distinguer les solutions qui s’adressent aux FAI, aux grandes entreprises, aux PME, puis aux particuliers. On distinguera également les solutions matérielles des solutions logicielles… et les charlots des gens sérieux mais ce n’est pas trop le débat. Nous allons nous concentrer sur deux niches :

  • Les solutions de sécurité ISP class : je parle ici de solutions, souvent matérielles (firewall/routeurs de service…), visant à prémunir le réseau des fournisseurs d’accès d’attaques diverses (dénis de service, vagues de spam, propagation de vers…). Ici, les solutions dites de Deep Packet Inspection ont une utilité certaine car elles servent le bon fonctionnement du réseau en luttant contre des attaques susceptibles de le perturber. Concrètement, des sondes ou des routeurs de services reconnaissent les signatures des attaques et stoppent leur acheminement. Le marché du DPI représente à horizon 2013 environ 1,5 milliards de dollars à lui tout seul. Un routeur de service capable de traiter un flux terabit coûte entre 120 et 250 000 euros. Là si vous m’avez bien lu, vous devez comprendre tout de suite que tout ce qu’on raconte sur le DPI est entièrement faux… fliquer toute le population française ne reviendrait certainement pas des centaines de millions d’euros… à la louche ça doit coûter entre 10 et 15 millions d’euros, à peine la moitié de ce que le gouvernement vient de mettre dans la carte musique jeune.
  • La sécurité des particuliers : là par contre, il faut bien l’avouer, c’est le Far West. L’offre se concentre principalement autour d’un système d’exploitation, Microsoft Windows qui en bon leader est le plus attaqué. Et sur Windows, on trouve de tout : antivirus, firewall, solutions de contrôle parental, solutions anti fishing… Open Office …. De ces solutions nous en retiendrons principalement 2 vu que toutes les autres peuvent être remplacées par un usage simple du cerveau (user side). Nous conserverons donc l’antivirus et le firewall. L’antivirus étant par définition utile quand c’est déjà trop tard (une fois que la machine est infectée), il nous reste le firewall qui contrôle ce qui rentre et ce qui sort de la machine.

Ici, on s’interroge donc sur quel(s) type(s) de solution(s) la HADOPI va pouvoir jeter son dévolu. Procédons de manière simple en nous remémorant ce que stipule le texte de loi : « moyen de sécurisation de l’accès Internet« … et ben on est pas dans la merde. On ne vous demande pas de sécuriser votre ordinateur, ni votre box… mais votre « accès Internet ». Si l’HADOPI veut prendre le texte au pied de la lettre, je vois assez mal comment elle pourrait ne pas se laisser tenter par compléter le dispositif de sécurisation situé chez l’utilisateur par un autre dispositif, placé sur le réseau de l’opérateur, et qui viserait à « dépolluer » l’Internet ou policer les internautes.

La CCIA s’inquiète donc à juste titre car de tels outils, par exemple à l’échelle d’un cloud ou pour du du Software as a Service (SaaS)… on a beau jurer par tous les grands dieux que le filtrage  que c’est totalement transparent… et bien permettez moi d’en douter. Jean-Paul Smets de la société Nexedi a déjà mis en garde à ce sujet après une expérience grandeur nature contre son gré, suite à la mise en place d’un filtrage par Eircom en Irlande : “il y a deux semaines environ, nous avons constaté que l’accès aux serveurs d’application en France s’était dégradé de façon inimaginable pour l’un de nos clients situé en Irlande. Nous sommes ainsi passé d’un temps d’accès de 1/2 sec à 4 sec.” (…) “Ce que nous avons remarqué, c’est que cet incident est arrivé au même moment que le filtrage mis en place par le fournisseur d’accès Irlandais Eircom que notre client utilise” .

L’invective de la CCIA me semble donc parfaitement légitime, ce qu’elle demande c’est un laissé faire, mais là où je vais rejoindre Ludovic, c’est qu’il ne faut pas non plus que ce laisser faire se transforme en laisser aller.

La vaste escroquerie des services gérés.

Après des années années de « ranafout' » voici que les fournisseurs d’accès s’intéressent maintenant à l’acheminement de communications prioritaires. Et là comment vous dire ça sans ménerver… cette histoire de services gérés qui nécessiteraient l’usage d’outils comme le QoS et le trafic shaping afin de préserver l’usage d’un service (dans 99,99% des cas, payant) au détriment d’autres services (dans 100% des cas gratuits oui dans lesquels le FAI n’a rien à gagner), est dans certains cas une splendide escroquerie intellectuelle. Si pour l’Internet filaire on ne rencontre pas encore de manifestations inquiétantes de FAI trop zélés, il en est tout autrement sur les services d’accès à l’Internet mobile

Non vous ne me ferez pas croire qu’il est nécessaire, sur le réseau d’un opérateur mobile, de filtrer la voix sur IP ou que le surf en tethering, sous prétexte que cela consomme de la bande passante et met en danger le bon fonctionnement d’un réseau 3G. La vérité est toute autre, si la VOIP ne fonctionne pas c’est que l’opérateur mobile est avant tout un opérateur téléphonique qui se rémunère à prix d’or sur un réseau qui ne lui coûte quasiment rien. Ce même opérateur, pour que vous puissiez utiliser votre navigateur de votre ordinateur en 3G, préfère évidemment que vous achetiez chez lui une clef 3G avec un abonnement dédié alors que votre téléphone peut tout à fait remplacer votre clef 3G. Bref, ces opérateurs se foutent complètement de vous. Pas convaincus ? Alors expliquez moi pourquoi tous proposent  des abonnements mobiles GSM/3G /EDGE (aux environs de 2 fois le coût d’une connexion ADSL) qui vous proposent de la TV en illimité sur les réseaux 3G. La vidéo, streamée est évidemment bien plus consommatrice de bande passante que surfer sur le web en tethering. En aucun cas le fait d’assurer une qualité de service ne saurait justifier le bridage de la voix sur IP ou du tethering. Il s'(agit d’une atteinte manifeste à la neutralité des réseaux et en plus, les opérateurs se payent le luxe d’appeler ça de l’Internet illimité (une situation qui en pratique ne change pas vraiment depuis les déclarations de bonnes intentions à l’issue du colloque de l’ARCEP.

Un traitement de faveur pour le DPI ?

A l’heure actuelle de nombreux opérateurs expérimentent ou utilisent le DPI pour manager leur réseau, ceci est un usage correct de ces technologies, mais pour franchir le cap de la discrimination des contenus et des services de tiers, il n’y a qu’un pas. Et pour ne pas le franchir, il faudra que le législateur se prononce. Le seul hic, c’est que je le vois très mal dire aux FAI de ne pas détourner l’usage du DPI à des fins de discrimination des contenus du voisin si par malheur il autorisait aux ayants-droit un usage contre nature de ces mêmes outils à des fins de reconnaissance des contenus pour nettoyer Internet des contenus dit illicites car soumis à droit d’auteur. Et comment déterminer si un contenu est illicite ? C’est simple, il suffit par exemple de dire que tout mp3 sur un réseau P2P est illicite, que tout fichier vidéo entre 650 et 720 Mo est un divx piraté… C’est donc la négation parfaite d’une exception au droit d’auteur, le DPI se fichera bien de faire la différence entre un divx mal acquis et un divx légalement acquis et encodé par son propriétaire qui transite sur le réseau pour que ce dernier puisse par exemple le visionner sur son lieu de vacance. Tout fichier est suspect, tous les internautes sont coupables…

Conclusion

Oui, il faudra que le législateur intervienne (et ce n’est pas fait pour me réjouir) en se prononçant sur la neutralité des infrastructures. Une concurrence locale accrue est une bonne garantie, les petits acteurs pourront surveiller les gros et plus nombreux seront ces acteurs, plus le service gagnera en qualité et plus nous aurons des chances de conserver un Net ouvert et neutre. Autre effet bénéfique, les collectivités ne se trouvant pas en zone assez denses pour que les « gros » opérateurs ne daignent s’y établir, auront le loisir de confier des délégations de service public à des acteurs locaux, impliqués au sein de leur région, de leur département, et même de leur commune… tout le monde a donc à y gagner et c’est même peut-être là l’occasion de rattraper notre retard dans l’accès au très haut débit.

Il me semble aussi impératif de fixer légalement des limites à l’usage de technologies de Deep Packet Inspection et d’inscrire dans la loi que ces dernières ne doivent en aucun cas servir à des fins de discrimination, ni a toute pratique susceptible de violer les correspondances des utilisateurs du réseau. En pratique, je doute que le moment soit opportun car je n’ai qu’une confiance très limitée en notre représentation nationale pour comprendre toute la mesure des enjeux de ces questions, et je crains fort que nos députés et sénateurs ne se limitent à une vision franco française d’une problématique de nature internationale dont les enjeux sont capitaux pour notre compétitivité à l’international.

/-) Un énorme merci au channel IRC de FDN

Fibre optique : Numericable persiste à se foutre de la tronche des internautes

pipeau très haut débit
Le pipeau très haut débit by Numéricable

Souvenez vous le plan Numerique 2012 d’Eric Besson, un plan ambitieux dans lequel la France prenait le leadership numérique européen… ah sur le papier ça claquait bien ! Fin 2010 où en sommes nous ?

Et bien il faut noter dans un premier temps que le plan Numérique 2012 a eu à patir de 2 choses qui l’ont sérieusement plombé :

  • La crise économique et financière qui a freiné les investissements des fournisseurs d’accès, même si ces derniers le nient et continuent à raconter des balivernes à la presse…
  • Une Nathalie Kosciusko-Morizet complètement aux fraises sur le déploiement de la fibre optique (tout comme sur les autres dossiers où elle était d’ailleurs attendue : Hadopi, article 4 de la Loppsi, RGI ….)

Pourquoi je suis pas content ?

Et bien mes alertes Google me remontent ce matin une nouvelle communication de Numéricable qui est un superbe pipeautage. Figurez vous qu’à en lire ce billet, Paris serait la capitale européenne de la fibre optique… rien que ça. Je cite :

« Numericable a annoncé avoir raccordé son millionième foyer parisien au Très Haut Débit par la fibre optique, valant à Paris de devenir « la capitale européenne de la fibre optique », a ajouté le câblo-opérateur. »

Bon on arrête tout de suite les idioties

Tous opérateurs confondus, en juin dernier, il y avait en France moins de 80 000 foyers qui bénéficiaient effectivement de la fibre optique. 365 000 comptes Internet pouvaient accéder à des connexions de 100 Mbit/s, ce qui veut dire que seulement 285 000 foyers bénéficiaient du 100 mégas Canada Dry de chez Numéricable.

Encore plus fort, certains fournisseurs d’accès prétendent que c’est le public qui est long à adopter la fibre, comprenez que les gentils opérateurs l’installent et que vous, abonnés Internet, préférez rester sur votre bonne vielle connexion 20 mégas. Mais de qui vous foutez vous là au juste messieurs ?

Les faits c’est que la France n’est pas loin d’être bonne dernière en Europe sur le déploiement de la fibre optique, c’est une véritable HONTE ! Le très sérieux FTTH Council Europe place la France en 15e position du classement des pays européens les plus fibrés… 15e sur 17 ! Soit avant, avant dernier !!

Et vous venez nous parler de leadership européen ?

Numérique 2012 ? Mais quelle blague ! La France est tellement à la traîne qu’elle ne trouve rien de mieux que de proposer dans un rapport parlementaire, de taxer dés 2012 les abonnements à l’Internet fixe… et ceci viendra en plus de la hausse des prix déjà prévue, et qui sait, un jour, en plus d’une licence globale.

Explications :

Quand un opérateur dit qu’il a raccordé un foyer, ceci veut dire 8 fois sur 10 que la fibre ne passe pas loin de l’immeuble, mais en aucun cas que ce même opérateur à entammé son déploiement vertical (installation des prises optiques chez les particuliers et tirage de la fibre dans les fourreaux de l’immeuble).

Certe pour Numéricable, c’est très différent, l’opérateur, avec sa technologie Canada Dry, n’a pas même besoin de rentrer dans les immeubles puisqu’il ne fait pas du FTTH mais du FTTLA (Fiber to the last amplifier) : la fibre arrive quelque part près de chez vous mais pas chez vous, les derniers mètres utilisent le réseau coaxial du câblo opérateur. Il en résulte que Numéricable déploie plus vite que les autres, à moindre coût, mais surtout, au final il propose un service ridicule pour ce qu’on serait en droit d’attendre de la fibre optique : 100 mégas en vitesse descendante, et 5 pauvres petits mégas indignes en envoi de données. Le cuivre ne sait pour l’instant pas faire mieux, du coup on a bien de la puissance fibre en download, mais on aussi et surtout de la puissance cuivre en upload. La technologie utilisée par Numericable ne fait en rien de la France une grande nation du très haut débit, ou alors du « semi très haut débit ».

N’essaye même pas !

Pas la peine de me justifier ce choix technologique par une excuse du style « oui mais les internautes ils downloadent plus qu’ils n’uploadent« , si c’est le cas c’est du au choix historique de l’ADSL, il ne s’agit aucunement d’un usage naturel du Net. Maintenant avec HADOPI qui prohibe le P2P, ils vont même uploader beaucoup moins. Mais il est évidemment préférable pour un opérateur d’avoir plus de débit descendant vers l’utilisateur pour  lui vendre des beaux contenus HD, que de lui laisser de l’upload et que l’abonné finisse par comprendre qu’Internet c’est pas « que » une télévision HD.

La raison du choix de Numericable uniquement guidée par des impératifs économiques, le FAI est détenu par des fonds de pensions américains, et c’est de la rentabilité qu’on lui demande, surement pas d’offrir un accès Internet neutre et de qualité.

Le député Ayrault demande des comptes à la HADOPI

Assemblée Nationale
Assemblée Nationale

Jean-Marc Ayrault, Député -Maire de Nantes et président du groupe socialiste, radical, citoyen et divers gauche, dans un courrier adressé à Mme M. Françoise Marais (téléchargeable ici au format pdf) , présidente de la HADOPI, s’étonne que les députés de son groupe soient sollicités par la Haute Autorité sur des questions relatives à la communication alors que de nombreuses questions d’ordre juridique restent en suspend.

Il semble que la Haute Autorité ait sollicité les députés (et c’est tout à son honneur) de l’opposition (et surement pas qu’eux) en leur soumettant un questionnaire.

Je vous ai souvent parlé des carences démocratique pendant les débats… et bien ça n’a pas manqué, après que les internautes, puis la presse, aient maintes fois souligné que la Haute Autorité ne pouvait jouir d’une légitimité reconnue après ces parodies de débats parlementaires où toute opposition a savamment été muselée… voilà que les députés s’y mettent. Et ils ont bien raison ! Combien de questions de parlementaires sont encore sans réponse ? PCinpact a dressé un inventaire et c’est franchement pas très beau à voir.

Le député Ayrault qui s’exprime au nom du groupe parlementaire, n’y va pas avec le dos de la cuillère : il rappelle que le délit de négligence caractérisée est intimement lié, par le décret 2010-695 du 25 juin 2010, au fait de ne pas avoir mis en place un dispositif de sécurisation de l’accès Internet, ce qui n’a pas empêché la HADOPI d’envoyer sa première vague d’email de « recommandation ». Pour ceux qui n’ont pas suivi, le mail de la HADOPI recommande à l’Internaute de sécuriser sa connexion Internet en se gardant bien de lui dire comment ou encore ce qu’elle entend par connexion Internet… et oui, c’est l’un des « petits bugs » du texte de loi. Jean-Marc Ayrault s’intéroge « des logiciels capables de sécuriser totalement un accès Internet existent-ils réellement ?« … et paff ! Il est évident qu’aucun logiciel de ce type n’existe… et n’est pas prêt d’exister… il y en a bien un qui a essayé, une entreprise du nom de Tegam qui vantait son antivirus capable de bloquer « même les virus qui n’existent pas encore »… et bien devinez quoi ? Un jour Tegam a croisé la route d’un certain Guillermito… puis du coup, Tegam n’existe plus.

La suite du courrier est succulente, le député Ayrault souligne que l’offre légale se fait toujours attendre et nous rappelle au passage que les offres légales seront « labellisées » pffffft krkrkrk… veuillez m’excuser, c’est nerveux, j’étais juste en train de m’imaginer un beau logo « HADOPI compliant, 100% warez Free » sur le site de la FNAC. Il en profite également pour s’interroger sur le coût de la carte musique jeunes.

Toujours sur les questions budgétaires, le député Ayrault revient sur les 12 millions accordés dans la loi de finance 2012 à la Haute Autorité, il rappelle que le budget initial au vote était de 6,7 millions. En toute logique, ce budget pourrait encore augmenter, car on ne le dit pas assez, mais civiliser Internet… ça coûte cher. En outre le député se demande où en sont les négociations avec les fournisseurs d’accès Internet concernant le dédommagement des frais liés à l’identification des internautes (et ça on risque d’en entendre reparler dans peu de temps).

Le député Ayrault manifeste aussi son intérêt, et celui de ses collègues, sur la volumétrie des envois de mails. Et là comment vous dire… le député fait mouche. Il a de nombreuses fois pendant les débats, puis dans la presse, été question d’envoyer 10 000 mails par jour, soit 3,65 millions de mails par an. Dans une hypothèse  d’un coût de 1,5 euros par identification, ça nous fait quand même du 5,47 millions par an. Autant vous dire que si la HADOPI compte envoyer 10 000 mails par jour et qu’elle se résigne à payer les FAI pour ces identifications, elle va ruiner le contribuable. Pour moi, ce chiffre de 10 000 mails par jour, c’est du flanc, destiné à faire peur. Pour tout vous dire, si je reçois un mail HADOPI, je file aussitôt au PMU du coin remplir une grille de lotto.

Pour conclure, le groupe socialiste rappelle que comme prévu, HADOPI ne rapporte pas un centime de plus aux créateurs, et c’est donc bien que le vote même de ce texte se fondait sur un postulat de départ erroné… ou disons le carrément, un mensonge. D’ailleurs le député Ayrault s’interroge sur la liste des oeuvres protégées et comme lui, je serais curieux de savoir combien d’indépendants (des vrais, pas des filiales de majors) sont surveillés par les radars de TMG.

Tout semble indiquer que Nicolas Sarkozy ait confondu la filière disque avec le terme « création ». Le vrai nom de la loi « Création et Internet » serait en fait « filière disque et Internet ».

Hackito Ergo Sum 2011

Hackito Ergo Sum 2011

Hackito Ergo Sum est le rendez-vous international que vous fixe le hackerspace /tmp/lab. L’édition 2011 se tiendra du 7 au 9 avril et reunira, on peut leur faire confiance, de nombreux talents pour offrir des interactions de haut niveau. L’appel à participation vient tout juste d’être lancé. Si vous avez des choses à partager, qu’il s’agisse de code ou de bidouille matérielle, cet événement est un incontournable : conférences de haut niveau, capture the flag, des rencontres qui s’adressent aussi bien aux bidouilleurs qu’aux institutionnels ou représentant d’organisation gouvernementale.

La HADOPI ne sera surement pas oubliée, quelque part entre le hacking d’Echelon et de SCADA, un set « Governmental firewall and their limits (Australia, French’s HADOPI, China, Iran, Denmark, Germany, …) » est prévu et je ne saurai trop recommander aux représentants de la HADOPI d’y participer pour comprendre que les limites ne sont pas que philosophiques et que les dangers sont bien réels.

HES 2011 c’est aussi et surtout l’espoir de voir un jour la France rattraper son retard historique sur les autres pays européens en matière de hacking. Faut il encore préciser que le hacking est une discipline noble, utile, favorisant l’innovation et la créativité, indiscociable de la recherche informatique ou de la recherche en général, et qui ‘na rien à voir avec le « piratage ».

A noter que HES2011 se cherche encore des sponsors, n’hésitez pas à les contacter si vous pensez que l’image de votre institution ou de votre entreprise peut trouver une cohérence à s’associer avec un évènement de ce type dont on sait par avance qu’il ne peut être qu’une réussite vu le sérieux reconnu du /tmp/lab pour l’organisation d’évènements (comme le Hacker Space Festival) et sa faculté à regrouper aisément des spécialistes très reconnus dans leur discipline.

HES 2011 : le call for paper

–[ Synopsis:
Hackito Ergo Sum conference will be held from April 7th to the 9th of 2011 in Paris, France.
Following last edition’s success, HES2011 will be a bigger event with even more talks, focusing on hardcore computer & network security, insecurity, vulnerability analysis, reverse engineering, research and hacking, and will try to keep the high quality content. Our dear Program Committee is there to ensure this.
HES will this year be a fully international-oriented conference, 100% in English, aiming to gather the best security researchers, experts and decision makers in one room.
–[ Introduction:
The goal of this conference is to promote security research, broaden public awareness and create an open forum so that communication between the researchers, the security industry, the experts and the public can happen.
Last year, we pioneered a domain with the first Capture The Flag (CTF) contest on FPGA, with excellent result that exceeded by far our expectations. This year, new contests will run with hopefully even more diverse and new approaches to security. Of course, network-based CTF and lockpicking contest will still happen.
We will have a specific session for new works, including slots for new presenters -i.e. typically people whose personal research are extremely interesting but who do not usually present at conferences- because security innovations occur at the fringe of the security industry, very often by passionate people, and that’s what we are and love. Submissions from students, academics or otherwise passionate people from anywhere on the internet are therefore most welcome.
We will also have an anonymous side track so that people who wish to present sensitive subjects can do so in total freedom. As we believe the academic system as setup a good precedent with anonymous submissions, review and voting, we wish to pursue this direction by providing researcher a way to share important contribution without being concerned with politics and other non-research influences.
This conference will try to take into account all voices in order to reach a balanced position regarding research and security, inviting businesses, governmental actors, researchers, professionals and the general public to share concerns, approaches and interests for this topic.
During three days research conferences, solutions presentations, panels and debates will aim to view and determine the future of IT security.
–[ Content of the Research Track:
We are expecting submissions in English only. The format will be 45 mins presentation + 10 mins Q&A.
Please note that talks whose content will be judged too commercial or biased toward a given vendor will be rejected.
For the research track, preference will be given to offensive, innovative and highly technical proposals covering (but not restricted to) the topics below:
[*] Attacking Software
* Automating vulnerability discovery
* The business of the 0-day market
* Non-x86 exploitation
* New classes of software vulnerabilities and new methods to detect
software bugs (source or binary based)
* Static and Dynamic binary or source-based analysis
* Current exploitation on Gnu/Linux WITH GRsecurity/SElinux/OpenWall/SSP
and other current protection methods
* Kernel land exploits (new architectures or remote only)
* New advances in Attack frameworks and automation
* Secure Development Life Cycle and real-life development experiences
[*] Attacking Infrastructures
* Botnets and C&C abuses
* Exotic Network Attacks
* Telecom (from VoIP to SS7 to GSM & 3G/4G RF hacks)
* Financial and Banking institutions
* SCADA and the industrial world, applied.
* Governmental firewall and their limits (Australia, French’s HADOPI,
China, Iran, Denmark, Germany, …)
* Law enforcement : how to / how to deceive / how to abuse.
* Satellites, Military, Intelligence data collection backbones
(« I hacked Echelon and I would like to share »)
* Non-IP (SNA, ISO, make us dream…)
* M2M
* Wormable vulnerabilities against protocols & infrastructures
[*] Attacking Hardware
* Hardware reverse engineering (and exploitation + backdooring)
* Femto-cell hacking (3G, LTE, …)
* BIOS and otherwise low-level exploitation vectors
* Real-world SMM usage! We know it’s vulnerable, now let’s do something
* WiFi drivers and System on Chip (SoC) overflow, exploitation and backdooring.
* Gnu Radio hacking applied to new domains
[*] Attacking Crypto
* Practical crypto attacks from the hacker’s perspective
(RCE, algo modeling, bruteforce, FPGA …)
* Algorithm strength modeling and evaluation metrics
* Hashing functions pre-image attacks
* Crypto where you wouldn’t think there is
We highly encourage any other presentation topic that we may not even imagine.
–[ Submissions:
[*] Required information:
Submitions must (see RFC 2119 for the meaning of this word) contain the following information:
* Speaker’s name or alias
* Biography
* Presentation Title
* Description
* Needs: Internet? Others?
* Company (name) or Independent?
* Address
* Phone
* Email
* Demo (Y/N)
We highly encourage and will favor presentations with a demo.
Submissions may contain the following information:
* Tool
* Slides
* Whitepaper
[*] How to submit:
Submit your presentation and materials at:
http://hackitoergosum.org/apply/
–[ Workshops:
If you want to organize a workshop or any other activity during the conference, you are most welcome. Please contact us at: [email protected]
–[ Dates:
2010-11-15    Call for Paper
2011-02-20    Submission Deadline
2011-02-21    Acceptance notification
2011-03-01    Program announcement
2011-04-07    Start of conference
2011-04-09    End of conference
–[  Program Committe:
The submissions will be reviewed by the following program committee:
* Tavis Ormandy (Google) @taviso
* Matthew Conover (Symantec) @symcmatt
* Jason Martin (SDNA Consulting, Shakacon)
* Stephen Ridley @s7ephen
* Mark Dowd (AzimuthSecurity) @mdowd
* Tiago Assumpcao
* Alex Rice (Facebook) facebook.com/rice
* Pedram Amini (ZDI) @pedramamini
* Erik Cabetas
* Dino A. Dai Zovi (Trail Of Bits) @dinodaizovi
* Alexander Sotirov @alexsotirov
* Barnaby Jack (IOActive) @barnaby_jack
* Charlie Miller (SecurityEvaluators) @0xcharlie
* David Litchfield (V3rity Software) @dlitchfield
* Lurene Grenier (Harris) @pusscat
* Alex Ionescu @aionescu
* Nico Waisman (Immunity)  @nicowaisman
* Philippe Langlois (P1 Security, TSTF, /tmp/lab) @philpraxis
* Jonathan Brossard (Toucan System, P1 Code Security, /tmp/lab) @endrazine
* Matthieu Suiche (MoonSols) @msuiche
* Piotr Bania @piotrbania
* Laurent Gaffié (Stratsec) @laurentgaffie
* Julien Tinnes (Google)
* Brad Spengler (aka spender) (Grsecurity)
* Silvio Cesare (Deakin University) @silviocesare
* Carlos Sarraute (Core security)
* Cesar Cerrudo (Argeniss) @cesarcer
* Daniel Hodson (aka mercy) (Ruxcon)
* Nicolas Ruff (E.A.D.S) @newsoft
* Julien Vanegue (Microsoft US) @jvanegue
* Itzik Kotler (aka izik) (Security Art) @itzikkotler
* Rodrigo Branco (aka BSDeamon) (Checkpoint) @bsdaemon
* Tim Shelton (aka Redsand) (HAWK Network Defense) @redsandbl4ck
* Ilja Van Sprundel (IOActive)
* Raoul Chiesa (TSTF)
* Dhillon Andrew Kannabhiran (HITB) @hackinthebox
* Philip Petterson (aka Rebel)
* The Grugq (COSEINC) @thegrugq
* Emmanuel Gadaix (TSTF) @gadaix
* Kugg (/tmp/lab)
* Harald  Welte (gnumonks.org) @LaF0rge
* Van Hauser (THC)
* Fyodor Yarochkin (Armorize) @fygrave
* Gamma (THC, Teso)
* Pipacs (Linux Kernel Page Exec Protection)
* Shyama Rose @shazzzam
–[ Fees:
Business-ticket (3 days)                                         120 EUR
Public entrance (3 days)                                         80 EUR
Discount for Students below 26  (3 days)                         40 EUR
Discount for CVE publisher or exploit publisher in 2010-2011(3d) 40 EUR
One-day pass                                                     40 EUR
Volunteers (Must register, see below)  (3 days)                   0 EUR
–[ Trainings
The list of trainings for HES2011 will be announced shortly after CFP publishing. You can still send us training description to hes2011-orga AT_lists.hackitoergosum.org if you want to offer some training. Trainings will happen from Monday 4th of April until Wednesday 6th of April, just before the conference.
–[ Sponsors:
We are looking for sponsors. Entrance fees and sponsors fees are used to fund international speakers travel costs and hosting facility. Please ask for the HES2011 Sponsor Kit at hes2011-orga __AT__ lists.hackitoergosum.org.
–[ Volunteers:
Volunteers who sign up before 2011-03-01 get free access and will need to be present onsite two days before (2011-04-05) if no further arrangement is made
with the organization.
–[ Journalists:
Journalists are welcome, but are required to comply with simple rules to ensure the mutual respect among adults we aim to bring in hackito. In particular, filming or taking pictures of attendees without their prior agreement is totally prohibited. « We shall respect privacy and people » is the only motto.
–[ Greetz:
We would like to thank the HES2010 Team, its reviewing committee and all the volunteers for their time and dedication in making this event a success. Thumbs up to the /tmp/lab hackerspace for their support and the final HES party which was a tremendous success.
We would also like to greet all the speakers of last year’s edition for the quality of their presentation and the great time we shared in Paris : you are all most welcome back in Paris for the 2011 edition.
Likewise, we’d like to thank last year’s sponsors for their unconditional support. Feel free to support us again for this 2011 edition.
Finally, we would like to thank all the people that participated to last years edition : the conference is the people 🙂 See you all in April !

–[ Synopsis:
Hackito Ergo Sum conference will be held from April 7th to the 9th of 2011 in Paris, France.
Following last edition’s success, HES2011 will be a bigger event with even more talks, focusing on hardcore computer & network security, insecurity, vulnerability analysis, reverse engineering, research and hacking, and will try to keep the high quality content. Our dear Program Committee is there to ensure this.
HES will this year be a fully international-oriented conference, 100% in English, aiming to gather the best security researchers, experts and decision makers in one room.

–[ Introduction:
The goal of this conference is to promote security research, broaden public awareness and create an open forum so that communication between the researchers, the security industry, the experts and the public can happen.
Last year, we pioneered a domain with the first Capture The Flag (CTF) contest on FPGA, with excellent result that exceeded by far our expectations. This year, new contests will run with hopefully even more diverse and new approaches to security. Of course, network-based CTF and lockpicking contest will still happen.
We will have a specific session for new works, including slots for new presenters -i.e. typically people whose personal research are extremely interesting but who do not usually present at conferences- because security innovations occur at the fringe of the security industry, very often by passionate people, and that’s what we are and love. Submissions from students, academics or otherwise passionate people from anywhere on the internet are therefore most welcome.
We will also have an anonymous side track so that people who wish to present sensitive subjects can do so in total freedom. As we believe the academic system as setup a good precedent with anonymous submissions, review and voting, we wish to pursue this direction by providing researcher a way to share important contribution without being concerned with politics and other non-research influences.
This conference will try to take into account all voices in order to reach a balanced position regarding research and security, inviting businesses, governmental actors, researchers, professionals and the general public to share concerns, approaches and interests for this topic.
During three days research conferences, solutions presentations, panels and debates will aim to view and determine the future of IT security.

–[ Content of the Research Track:
We are expecting submissions in English only. The format will be 45 mins presentation + 10 mins Q&A.
Please note that talks whose content will be judged too commercial or biased toward a given vendor will be rejected.
For the research track, preference will be given to offensive, innovative and highly technical proposals covering (but not restricted to) the topics below:
[*] Attacking Software   * Automating vulnerability discovery   * The business of the 0-day market   * Non-x86 exploitation   * New classes of software vulnerabilities and new methods to detect     software bugs (source or binary based)   * Static and Dynamic binary or source-based analysis   * Current exploitation on Gnu/Linux WITH GRsecurity/SElinux/OpenWall/SSP     and other current protection methods   * Kernel land exploits (new architectures or remote only)   * New advances in Attack frameworks and automation   * Secure Development Life Cycle and real-life development experiences
[*] Attacking Infrastructures   * Botnets and C&C abuses   * Exotic Network Attacks   * Telecom (from VoIP to SS7 to GSM & 3G/4G RF hacks)   * Financial and Banking institutions   * SCADA and the industrial world, applied.   * Governmental firewall and their limits (Australia, French’s HADOPI,     China, Iran, Denmark, Germany, …)   * Law enforcement : how to / how to deceive / how to abuse.   * Satellites, Military, Intelligence data collection backbones     (« I hacked Echelon and I would like to share »)   * Non-IP (SNA, ISO, make us dream…)   * M2M   * Wormable vulnerabilities against protocols & infrastructures
[*] Attacking Hardware   * Hardware reverse engineering (and exploitation + backdooring)   * Femto-cell hacking (3G, LTE, …)   * BIOS and otherwise low-level exploitation vectors   * Real-world SMM usage! We know it’s vulnerable, now let’s do something   * WiFi drivers and System on Chip (SoC) overflow, exploitation and backdooring.   * Gnu Radio hacking applied to new domains
[*] Attacking Crypto   * Practical crypto attacks from the hacker’s perspective     (RCE, algo modeling, bruteforce, FPGA …)   * Algorithm strength modeling and evaluation metrics   * Hashing functions pre-image attacks   * Crypto where you wouldn’t think there is
We highly encourage any other presentation topic that we may not even imagine.
–[ Submissions:
[*] Required information:
Submitions must (see RFC 2119 for the meaning of this word) contain the following information:
* Speaker’s name or alias* Biography* Presentation Title* Description* Needs: Internet? Others?* Company (name) or Independent?* Address* Phone* Email* Demo (Y/N)
We highly encourage and will favor presentations with a demo.
Submissions may contain the following information:* Tool* Slides* Whitepaper
[*] How to submit:
Submit your presentation and materials at:http://hackitoergosum.org/apply/

–[ Workshops:
If you want to organize a workshop or any other activity during the conference, you are most welcome. Please contact us at: [email protected]

–[ Dates:
2010-11-15    Call for Paper2011-02-20    Submission Deadline2011-02-21    Acceptance notification2011-03-01    Program announcement2011-04-07    Start of conference2011-04-09    End of conference
–[  Program Committe:
The submissions will be reviewed by the following program committee:* Tavis Ormandy (Google) @taviso* Matthew Conover (Symantec) @symcmatt* Jason Martin (SDNA Consulting, Shakacon)* Stephen Ridley @s7ephen* Mark Dowd (AzimuthSecurity) @mdowd* Tiago Assumpcao* Alex Rice (Facebook) facebook.com/rice* Pedram Amini (ZDI) @pedramamini* Erik Cabetas* Dino A. Dai Zovi (Trail Of Bits) @dinodaizovi* Alexander Sotirov @alexsotirov* Barnaby Jack (IOActive) @barnaby_jack* Charlie Miller (SecurityEvaluators) @0xcharlie* David Litchfield (V3rity Software) @dlitchfield* Lurene Grenier (Harris) @pusscat* Alex Ionescu @aionescu* Nico Waisman (Immunity)  @nicowaisman* Philippe Langlois (P1 Security, TSTF, /tmp/lab) @philpraxis* Jonathan Brossard (Toucan System, P1 Code Security, /tmp/lab) @endrazine* Matthieu Suiche (MoonSols) @msuiche* Piotr Bania @piotrbania* Laurent Gaffié (Stratsec) @laurentgaffie* Julien Tinnes (Google)* Brad Spengler (aka spender) (Grsecurity)* Silvio Cesare (Deakin University) @silviocesare* Carlos Sarraute (Core security)* Cesar Cerrudo (Argeniss) @cesarcer* Daniel Hodson (aka mercy) (Ruxcon)* Nicolas Ruff (E.A.D.S) @newsoft* Julien Vanegue (Microsoft US) @jvanegue* Itzik Kotler (aka izik) (Security Art) @itzikkotler* Rodrigo Branco (aka BSDeamon) (Checkpoint) @bsdaemon* Tim Shelton (aka Redsand) (HAWK Network Defense) @redsandbl4ck* Ilja Van Sprundel (IOActive)* Raoul Chiesa (TSTF)* Dhillon Andrew Kannabhiran (HITB) @hackinthebox* Philip Petterson (aka Rebel)* The Grugq (COSEINC) @thegrugq* Emmanuel Gadaix (TSTF) @gadaix* Kugg (/tmp/lab)* Harald  Welte (gnumonks.org) @LaF0rge* Van Hauser (THC)* Fyodor Yarochkin (Armorize) @fygrave* Gamma (THC, Teso)* Pipacs (Linux Kernel Page Exec Protection)* Shyama Rose @shazzzam
–[ Fees:
Business-ticket (3 days)                                         120 EUR
Public entrance (3 days)                                         80 EURDiscount for Students below 26  (3 days)                         40 EURDiscount for CVE publisher or exploit publisher in 2010-2011(3d) 40 EUROne-day pass                                                     40 EURVolunteers (Must register, see below)  (3 days)                   0 EUR
–[ Trainings
The list of trainings for HES2011 will be announced shortly after CFP publishing. You can still send us training description to hes2011-orga AT_lists.hackitoergosum.org if you want to offer some training. Trainings will happen from Monday 4th of April until Wednesday 6th of April, just before the conference.
–[ Sponsors:
We are looking for sponsors. Entrance fees and sponsors fees are used to fund international speakers travel costs and hosting facility. Please ask for the HES2011 Sponsor Kit at hes2011-orga __AT__ lists.hackitoergosum.org.
–[ Volunteers:
Volunteers who sign up before 2011-03-01 get free access and will need to be present onsite two days before (2011-04-05) if no further arrangement is madewith the organization.
–[ Journalists:
Journalists are welcome, but are required to comply with simple rules to ensure the mutual respect among adults we aim to bring in hackito. In particular, filming or taking pictures of attendees without their prior agreement is totally prohibited. « We shall respect privacy and people » is the only motto.

–[ Greetz:
We would like to thank the HES2010 Team, its reviewing committee and all the volunteers for their time and dedication in making this event a success. Thumbs up to the /tmp/lab hackerspace for their support and the final HES party which was a tremendous success.
We would also like to greet all the speakers of last year’s edition for the quality of their presentation and the great time we shared in Paris : you are all most welcome back in Paris for the 2011 edition.
Likewise, we’d like to thank last year’s sponsors for their unconditional support. Feel free to support us again for this 2011 edition.
Finally, we would like to thank all the people that participated to last years edition : the conference is the people 🙂 See you all in April !

–[ Contact:

— [ Social Media:

Keep in touch with the HES Organization via Facebook, Twitter and Linkedin !

HADOPI : j’adore l’odeur des octets au petit matin

Pour un Net sans Napalm
Pour un Net sans Napalm

Un peu d’empathie ne peut nuire, et une fois n’est pas coutume, je vais tenter de me glisser dans la peau d’une personne qui aurait un quelconque intérêt à voir HADOPI survivre plus d’un quinquennat à l’Internet. L’exercice n’est pas évident mais je vais tenter de lister ici les points qui pourraient à mon sens faire accepter HADOPI du grand public. Car quoi qu’en dise la propagande ministérielle, la pilule est loin d’être passée pour les internautes.  Je me place ici dans la perspective improbable qu’HADOPI, jouissant de l’Indépendance écrite sur le papier, puisse avoir la latitude nécessaire afin d’opérer pour le bien commun (c’est à dire les artistes, tous les artistes, et tous les internautes… comme dans une République ou la notion d’égalité ne s’appliquerait pas seulement aux copains du Fouquet’s).

Je vous livre ici 11 points qui pourraient me faire reconnaître l’HADOPI comme une institution légitime et utile, certaines sont de sa responsabilité, d’autre moins. Encore une fois HADOPI est un problème, et tant qu’elle sera inscrite dans la loi en l’état, elle restera un problème.

  1. Abandonner cette idée farfelue de vouloir labelliser une solution de sécurisation, ce n’est pas là le rôle de la HADOPI et même si l’Autorité n’est pas animée par la volonté de fliquer la population contre son gré, il ne pouvait y avoir pire institution pour éveiller les soupçons d’une grande partie de la population. Comprenez que les internautes qui ne s’en inquiètent pas ne sont tout simplement pas au courant que l’installation d’une solution certifiée HADOPI pourra leur permettre de prouver leur bonne foi. Si aujourd’hui la HADOPI s’inquiète de na pas voir votre accès Internet utilisé par des tiers, ce n’est certainement pas pour préserver vos données personnelles, le cadre de sa mission est bien de réduire drastiquement le piratage de contenus soumis à droit d’auteur et aucunement de vous assurer une protection de vos données personnelles… ça c’est le rôle de la CNIL.
  2. En finir une bonne fois pour toute avec ce  délit de négligence caractérisée qui ne caractérise rien d’autre que l’impuissance du législateur face à une pratique devenu un usage. Il est impératif que ce terme sorte du corpus législatif car il pourrait, appliqué à des crimes, faire la démonstration de toute l’injustice qu’il porte. La justice est faite pour protéger les concitoyens, elle n’est pas faite pour mettre en défaut les plus faibles, et c’est bien ce que fait le délit de négligence caractérisée.
  3. Parvenir à fédérer les communautés du libre (du logiciel comme de l’art), qui sont les grandes oubliées depuis les débats parlementaires. La tâche ici est loin d’être simple car il ne suffit pas de leur tendre la main une fois que le texte est voté alors que ces dernières ont manifesté leurs inquiétudes bien en amont.
  4. Par le biais de ses labs : faire le jour sur le véritable impact du téléchargement sur l’économie de l’industrie culturelle.
  5. S’opposer fermement aux technologies de reconnaissance des contenus ou de toute velléité de « civiliser l’Internet » ou encore de le « dépolluer ». Mon Internet à moi est très civilisé et non pollué, les théories Myardiennes sur le sujet sont risibles mais reflètent dramatiquement la vision Élyséenne du Net. Le fait même qu’un élu se lance dans de telles déclaration doit être pris comme un avertissement sérieux et quand on connait la faculté qu’ont à s’entendre les personnes qui ne comprennent rien à un sujet, il y a de quoi avoir vraiment peur. L’utilisation de ces technologies pour lutter contre l’échange de fichiers ne pourrait être assimilable à autre chose que de la surveillance généralisée, il serait contourné et ne pourrait être pris que comme une déclaration de guerre.
  6. Arrêter immédiatement ces perfusions de millions à coup de carte musique jeune dont la mise en place risible rivalise avec l’injustice profonde que peut ressentir le contribuable quand on essaye de favoriser les ventes d’artistes dont certains ne vivent même pas en France pour des raisons purement fiscales.
  7. Constituer une offre légale réellement attractive : ceci passe par faire plier les majors sur les conditions d’accès au catalogue, et ça c’est pas demain la veille. Quand bien même l’accès au catalogue serait facilité, les majors viendraient pleurnicher une fois de plus en designant Apple ou Spotify, comme des géants américains, donc des intrus néfastes à leur business et à l’industrie de la culture… ce à quoi je leur répondrai… bien fait pour votre tronche, vous avez eu plus de 10 ans pour réagir et vous n’avez rien trouvé de mieux à proposer que des formats fermés et DRMisés ou une répression à grande échelle des téléchargeurs à la petite semaine. Les majors ont perdu la distribution, c’est un fait, et je ne vais pas les pleurer sur ce point.
  8. Respecter les usages et même étendre certaines exceptions au droit d’auteur : Internet est une machine à copier, il va falloir s’y faire, on peut être pour ou contre, c’est un fait… On peut toujours essayer de le détourner pour le transformer en télévision HD en pay per view… il ne fonctionne pas comme ça, tout le monde peut émettre et diffuser librement.
  9. Réhabiliter le P2P, une technologie neutre et nécessaire ne serait-ce que pour l’éducation des internautes qui pensent encore que leur ordinateur est un simple terminal pour matter TF1 en streaming et superpoker les copains.
  10. Trouver un modèle économique viable pour l’industrie de la culture et ses biens dématérialisés. Mais là encore un modèle économique viable, ça veut dire qu’il va falloir passer un sacré coup de karsher sur la filière toute entière, il y aura des morts… et oui c’est moche le libéralisme dés fois, c’est aussi ce qui nous permet aujourd’hui d’éviter d’avoir à faire un Paris Nice à dos de cheval.
  11. Favoriser l’émergence de solutions de rémunération des auteurs et non des majors.

La HADOPI se veut une autorité indépendante, mais voilà, elle est bien trop dépendante d’un texte idiot pour arriver à mener à bien sa mission. Si la HADOPI veut réussir, si elle veut persister, ceci passera inéluctablement par un retour au Parlement et une redéfinition de ses missions. De tout ce que j’ai pu observer en plus de 2 ans sur le sujet, je ne vois pas d’autre issue. L’autre alternative, c’est le clash avec les internautes, une correction des bugs législatifs et une application de la politique la plus répressive possible, et donc accroître le mécontentement des Internautes… une idée brillante à 1 an des élections présidentielles.

Les 11 points énoncés ci-dessus ont autant de chances d’être satisfaits que j’en ai de recevoir un email d’avertissement de la HADOPI, ce qui me laisse particulièrement perplexe sur ses chances de survie avec la mission qui est actuellement la sienne. La conclusion est donc simple, soit le législateur revoit intégralement sa copie, soit elle est vouée à une mort certaine.

Bref, rien de nouveau, comme je vous l’avais prédit il y a bientôt de 2 ans, HADOPI est devenue le Vietnam de Nicolas Sarkozy…

HADOPI : les poids lourds sont pas contents

Propagande

Il est bien loin temps où Christine Albanel, alors ministre de la Culture et Franck Riester, rapporteur du projet de loi se targuaient d’un magnifique accord populaire où dans un large consensus, industriels, fournisseurs d’accès, associations d’utilisateurs du Net et ayants-droit signaient les yeux fermés les accords de l’Elysée qui ont engendré HADOPI.

Les moyens de sécurisation que la HADOPI doit labelliser sont la cible d’une nouvelle attaque, et pas des moindres. La mastodonte du Net, Yahoo, Microsoft et Google, par le biais de la CCIA (Computer and Communications Industry Association) s’inquiètent de voir une autorité administrative dicter ce que le marché de la sécurité tenait bien en main jusque là. Selon Numerama, cet appel serait renforcé par le fait que la HADOPI a le pouvoir d’obliger les concepteurs de logiciels à se plier à ces spécifications « même au delà de la lutte contre le piratage« . La CCIA semble également craindre que la HADOPI ne vienne entraver l’apparition d’autres solutions technologiques.

L’argumentaire de la CCIA tient en trois points :

Le premier concerne la pressante obligation faite aux particuliers d’installer un dispositif qui ne répond pas forcément à ses besoins. Même si l’utilisateur est libre de l’installer ou de ne pas l’installer, s’il veut prouver sa bonne foi, l’installation de cette solution pourrait lui valoir les faveurs devant le tribunal. La CCIA pointe du doigt le sentiment que certains utilisateurs pourraient avoir en se sentant « présumés coupables » à moins qu’il n’acceptent d’installer ce dispositif. La CCIA rappelle le risque non négligeable d’ « encourager des comportements indésirables par des gouvernements répressifs« .

Le second argument, un peu plus discutable à mon sens car il glisse vers le procès d’intention, stigmatise un comportement du logiciel dont je n’ose croire qu’il finisse par être validé : celui de la liste de blocage. Je disais « discutable » car cette « fonctionnalité » est tout simplement inacceptable, nous avons déjà pu constater qu’un gouvernement, même démocratique, devant une telle tentation, ne sait résister à rayer du Net quelques sites qui n’ont rien à voir avec la mission initiale qu’il souhaitait confier à un tel outil. La liste de blocage consisterait en une liste transmise par la haute autorité aux éditeurs de ces solutions, elle serait tenue secrète (enfin jusqu’au moment où elle fuitera ou sera récupérée par un petit malin qui aura sniffé sa connexion ou décompilé son client)… Dans cette perspective, j’espère que la HADOPI ne commettra pas la bourde de spécifier un tel outil, ni même AUCUN mécanisme opaque visant à altérer l’accès à certains contenus sans que l’utilisateur n’en soit informé en toute transparence..

Dernier argument auquel j’adhère pleinement : le projet stigmatise des protocoles, particulièrement le P2P et la technologie de Bittorent qui sert à acheminer également des contenus légaux et qui représente une providence pour de nombreux créateurs qui souhaitent se faire connaitre et qui n’ont pas forcément les moyens de s’offrir un hébergement et de la bande passante. Faut-il encore rappeler qu’HADOPI est en train de profondément modifier la topologie du réseau et les usages (j’entends par usage le fait que les utilisateurs migrent vers des solutions centralisées, s’éloignant encopre un peu plus du modèle acentré et neutre sur lequel l’Internet repose.

Le message de la CCIA est assez clair pour être pris au sérieux et surtout, il démontre, une fois de plus, qu’HADOPI est un texte bâclé, ni fait ni à faire, pour lequel les professionnels n’ont pas été consultés, ou pas écoutés. Les signataires du large consensus des accords de l’Elysée, comme Xavier Niel l’avait d’ailleurs souligné, la méthode Olivennes n’était qu’une mascarade convenue.

Cet épisode est bien là pour nous rappeler que les labs d’HADOPI auront bien du mal à nous faire oublier les carences des parlementaires qui inconscients, ont muselé l’opposition pendant les débats contre tout bon sens. En muselant toute opposition, le gouvernement a réussi a créer une situation bien embarrassante pour lui même, brandissant des sondages bidonnés qui indiquaient que l’HADOPI étaient plébiscitée par les Français, sans parler des pétitions bidons signées par des enfants et même des personnages de science fiction.

Comment une loi si populaire peut-elle rencontrer autant d’obstacles pour son application ? Peut-être parce qu’à force de demander des enquêtes bidons, les commanditaires finissent par y croire… bêtise ou naïveté ? Toujours est-il qu’il est temps que le législateur se réveille et comprenne enfin qu’on ne peut passer en force sur Internet comme on le fait pour d’autres choses. Internet est un écosystème complexe, vivant, auto suffisant, et auto régulé, basé sur les concepts d’ouverture et de neutralité.

Les politiques qui se félicitaient du fait que les français n’aient pas de mémoire vont devoir s’y faire… le Net en a une, lui, de mémoire, et les mensonges des défenseurs de ce texte de loi remonteront, uns par uns, ils seront à chaque fois bien plus destructeurs que n’importe quel déni de service sur le site de la HADOPI.

On adapte pas le Net à une politique, on adapte sa politique au Net…

La nouvelle stratégie de Microsoft pour Silverlight

Windows Mobile 7
Windows Mobile 7

Récemment, je vous faisais part d’une interview de Bob Muglia, président de Microsoft en charge de la branche serveur et outils, donnée au PDC et relayée entre autres par Gigaom. Il semble qu’il y ait eu de la part de moi comme de la presse un certain empressement à vouloir enterrer la technologie Silverlight. Bob Muglia a donc souhaité apporter des clarifications en revenant sur ces propos et i y dément tout abandon de SIlverlight mais bien un recadrage des objectifs. Bob Muglia assure que  :

  1. Silverlight est très important et stratégique pour Microsoft.
  2. Nous travaillons dur sur la prochaine version de Silverlight, et il continuera d’être multi-navigateur et multi-plateformes, et tourne sous Windows et Mac.
  3. Silverlight est une plateforme d’applications de base de développement pour Windows, et c’est la plate-forme de développement pour Windows Phone.

Il y affirme aussi que le but de Silverlight n’a jamais été de remplacer le HTML, mais plutôt d’apporter les choses que HTML (et d’autres technologies) ne peuvent pas faire, et enfin rendre ceci accessible aux développeurs. Bob Muglia donne également quelques chiffres : Silverlight serait  installé sur les deux tiers des ordinateurs dans le monde, et plus de 600.000 développeurs sont actuellement en train de développer des applications avec Silverlight, confirmant ainsi que Microsoft continuera à investir dans cette technologie.

ACTA : inconstitutionnelle aux USA… lol

ACTA

75 professeurs américains, des universitaires spécialisés en droit, auraient adressé une lettre au président Obama, lui demandant explicitement de ne plus porter l’ACTA, un accord commercial multilatéral anti contrefaçon dont le Parlement Européen avait entre autres fustigé l’opacité. Dans ce courrier envoyé au Président américain, on trouve un déroulé d’argumentaires qui n’est pas sans rappeler quelques souvenirs de par chez nous.

L’ACTA serait en modifierait substanciellement le droit de la propriété intellectuelle aux USA. Ça devient gênant… voyons les arguments de ces 75 gus dans leur garage.

Un manque de transparence

L’USTR (United States Trade Representative) est accusée d’avoir négocié secrètement un vaste accord international sur la propriété intellectuelle,  sans offrir au public la possibilité de participer à son élaboration, en laissant dicter le contenu à quelques intérêts privés qui auraient tout à gagner de règles internationales durcies sur la propriété intellectuelle (les majors du divertissement). Ce, quitte à nuire à l’intérêt public ! Les universitaires américains désignent ici les même manque de transparence que les euros députés ont reproché à la commission européenne qui négociait ACTA… amusant. La lettre prend acte en déclarant les tractation de l’USTR en contradiction avec la politique d’ouverture et de transparence pronée par le président américain.

ACTA est inconstitutionnelle

Alors en quoi c’est inconstitutionnel chez vous l’ACTA ?

« The President may only make sole executive agreements that are within his independent constitutional authority. The President has no independent constitutional authority over intellectual property or communications policy, the core subjects of ACTA. To the contrary, the Constitution gives primary authority over these matters to Congress, which is charged with making laws that regulate foreign commerce and intellectual property. »

Ok donc,  vous avez une sorte de décret de l’exécutif, dépendant directement de la présidence, qui par une procédure nommés sole executive agreement permettrait de transposer les prérogatives de l’ACTA dans le droit américain… sans passer par le Congrés… ahahah ! Quel farceur ce Barack, il a du se dire « tien je vais tenter une Sarkozy », ni vu ni connu. Mais voilà, le problème est que le président n’a pas autorité sur le droit de la propriété intellectuelle et des télécommunications qui constituent pourtant la substantifique moelle de l’ACTA… ☠ pwn3d ☠ …

En Europe, ACTA est soumise au vote des parlementaires, ce qui n’est pas le cas dans le processus initié par l’USTR et la présidence américaine.

Un impact non mesuré

Dernier point venant enfoncer le clou et conforter le précédent,  ACTA modifie substantiellement le droit de la propriété intellectuelle et les effets sur l’innovation, sur les plans nationaux comme internationaux n’ont pas été prise en compte, la lettre insiste sur la nécessité de mener des études d’impact idoines. ACTA modifie le droit américain et en cela le président seul ne peut avoir autorité.

Tout ça pour ça ? #lol

Au final, on a donc un accord commercial initié par des lobbys américains, et dont on a jamais été assuré de la constitutionnalité dans le droit… américain. L’USTR a négocié un accord qui entre en conflit avec la loi et des propositions de réformes aux États-Unis.

Il y a quelques mois je vous disais que l’ACTA était une bataille gagnable, mais à aucun moment j’aurais pensé au coup des 75 gus universitaires. Depuis que l’accord a été mis au grand jour après des mois d’obscures tractations, certains avancent même la thèse que les USA pourraient au final l’abandonner.

J’ai une pensée émue pour la Quadrature du Net qui a tant fait au niveau européen pour alerter sur les risques induits par cet accord commercial. J’en profite d’ailleurs pour vous rappeler que la Quadrature du Net a toujours besoins de vos dons pour poursuivre ses activités pour le bien commun.

… then you win !

Thx @kaanou pour l’info