Paranormal connectivity

Voilà, ça y est, je suis enfin rentré dans les intertubes du futur, je dispose d’une connexion FTTH, d’un upload qui me permet enfin d’envisager de travailler confortablement, d’un download qui me permet de regarder 4 flux simultanés de p0rn en HD et de coucher ma GeForce 210 (on ne se moque pas je voulais une carte graphique sans ventilo), ainsi que d’un ping me permettant de fragger pas grand monde vu que je ne suis pas gamer. Tout irait pour le mieux dans le meilleur des mondes si je n’avais pas découvert avec un étonnement de circonstance des pratiques un peu paranormales sur l’offre dont je dispose.

Tout d’abord, il faut comprendre un peu le contexte. Si mon nouveau FAI est Alsatis, le réseau physique appartient à REG.I.E.S. L’opérateur donne donc accès à Alsatis et Kiwi, deux opérateurs qui eux gèrent les abonnés professionnels et particuliers. REG.I.E.S fournit un routeur optique Inteno… un vrai, avec une prise optique et tout… pas comme sur une BBox fibre sans port optique

Le réseau est configuré comme suit :

  • Gateway 92.245.140.1 (Alsatis)
  • DNS Primaire : 194.2.0.20 (Oleane)
  • Secondaire : 8.8.8.8 (Google)

REG.I.E.S dispose de l’accès Admin sur le routeur Inteno (non accessible depuis le Net).
Il vous est gracieusement laissé un accès user/user avec mot de passe non changeable. Cet accès vous permet de régler le NAT, le Wifi, de faire du filtrage d’url… et voilà. Il ne vous est par exemple pas possible de configurer sur ce routeur les DNS de votre choix. Si vous laissez quelqu’un se connecter en wifi sur votre réseau, ce dernier peut donc naturellement accéder à la configuration du NAT et du wifi…

Si vous m’avez suivi jusque là, vous vous souvenez donc que je me suis abonné chez Alsatis et peut-être commencez-vous à vous demander à quoi ils servent dans l’histoire vu que le réseau n’est pas le leur et qu’ils ne fournissent pas le routeur permettant de vous connecter au net.

Et c’est là que je n’ai pas encore de réponse à cette question… voici pourquoi.

Alsatis fournit un routeur pour l’option téléphonie à 5 euros par mois. Il s’agit d’un Cisco WRP400 avec un firmware qui baigne dans son jus, daté de 2011 et dont le support a été interrompu en 2013, date du dernier update firmware… qui de toutes façons ne vous sert à rien puisqu’aucune config ni aucun upgrade firmware n’est persistant une fois connecté au net.

ciscofirmwareC’est donc là que ça commence à devenir fun. Je découvre alors que changer le mot de passe du Cisco est là encore mission impossible, tout comme changer le nom du réseau wifi… le routeur ne veut rien entendre, il me force une configuration Alsatis dont je ne veux pas dés que je le relie au Net.

Bref ce routeur, il dégage de mon réseau. J’aimerais au minimum avoir la main sur mon LAN, mais ça ne semble pas possible chez ce FAI avec l’équipement qu’il fournit.
Ce routeur Cisco WRP400 est normalement accessible sur l’ip locale 192.168.15.1.

Vieil automatisme, je me plante justement d’IP locale en voulant le configurer, et je rentre machinalement l’IP 192.168.0.1. Et voici sur quoi je tombe.

Capture du 2015-06-24 14:02:58

Un équipement embarquant une board Mikrotik qui n’a strictement rien à voir ni avec mon routeur optique, ni avec le Cisco fournit par Alsatis. Me demandant un peu ce que cet équipement fout sur mon LAN, je contacte alors le service technique d’Alsatis. Ce dernier me répond qu’il faut que je m’adresse au service commercial. C’est bien connu, quand le service technique sèche sur la nature d’un équipement réseau, rien de tel qu’un commercial pour répondre à vos questions.

Et c’est pas fini

Alsatis, comme tout fournisseur d’accès vous attribue une IP publique de son range. L’attribution des IP peut être fixe ou dynamique, mais la règle quand on est un FAI digne de ce nom, c’est un abonné = une IP publique… mais voilà, chez Alsatis, ton IP publique, et bien c’est pas la tienne. Tout de suite on se dit que ça va vite être le bordel. Je précise qu’à ce jour je n’ai pas encore vu de contrat de la part d’Alsatis, mon inscription s’étant réglée par téléphone. Du coup je me demande pour quel type d’Intranet j’ai pu signer… un début de réponse se trouve ici, dans les CGV, mais c’est tellement elliptique qu’au final, je ne sais toujours pas si j’ai à faire à une offre Internet ou un accès au LAN d’Alsatis, comme à l’époque d’AOL.

4.1– Le Service Internet Haut Débit :
Selon l’offre souscrite, le Client dispose pendant la durée de l’abonnement au Service Internet d’un nombre défini d’adresses emails,
d’un espace abonné et, en outre dans le cas d’une offre professionnelle, d’une adresse IP publique fixe.

J’en déduis donc que l’IP fixe, c’est pour les pros, en toute logique je devrais donc bénéficier d’une IP dynamique, ça ne m’arrange pas mais il y a des services pour gérer ça, comme DynDNS, je pourrais m’en accommoder.

L’IP publique visible qui m’est alors attribuée par Alsatis est 92.245.140.12. Vu qu’avec 100 mégas d’upload la moindre des choses c’est d’avoir un petit serveur à la maison, je me dis que je vais ouvrir deux ou trois ports. Comme j’aime quand même un peu savoir ce que mon routeur, qui marque la frontière entre mon LAN et Internet, laisse entrer et sortir, je lance un petit scan sur ce que je pense alors être mon IP publique. Et voilà que je découvre un serveur http, un accès ssh et un serveur FTP… ce alors que je n’ai à ce moment précis ouvert aucun port et que l’interface du routeur ne présente aucune règle sur l’ouverture de ces ports… conclusion, y’a comme une couille. Il est évidemment impossible d’ouvrir des ports sur mon routeur afin de rendre un serveur joignable depuis l’extérieur. En fait je peux ouvrir tous es ports que je veux, mais cette IP publique ne pointant pas sur mon routeur, il ne faut pas que je compte accéder au moindre service hosté à la maison… En fait je soupçonne Alsatis de « crowder » plusieurs clients sur la même adresse ip publique, bref le truc très bien pour sortir, mais vachement moins bien pour tomber sur son lan quand on lance un SSH sur son IP publique.

Renseignement pris au service technique, réponse épique « le service qui s’occupe des ouvertures des ports » va me recontacter… mouais enfin si « le service qui s’occupe de l’ouverture des ports » me filait tout simplement une ip publique, ça nous épargnerait à tous des maux de tête.

Pour le moment je suis dans l’attente d’Alsatis d’une réponse à mes deux questions :
1° pourquoi j’ai pas d’IP publique à moi (mon opérateur téléphonique n’attribue pas mon numéro de téléphone à plusieurs de ses abonnés et rien ne justifie ici une telle pratique)
2° pourquoi y a t-il un routeur qui ne m’appartient pas sur mon LAN…

Une IP publique qui ne pointe pas chez moi, des routeurs « minitélisés » et un équipement ISP sur mon LAN alors qu’il n’a rien à y faire… c’est un peu space le FTTH vu d’ici.

Oups ce banc public n’était pas public

11fa4ce2299ea951eeb8df523cfcefaaJ’ai lu avec attention l’article de Maître Emmanuel Daoud tentant de comparer l’acte qui m’a valu condamnation avec des exemples de « la vie réelle ». Evidemment ce genre de comparaisons est forcément bancales d’un point de vue technique, même si elles tiennent parfaitement la route d’un point de vue juridique. Mais à force d’évacuer toute considération technique, on passe à côté des bases, de l’essentiel.

Dans notre cas l’essentiel, c’est la nature d’Internet, un réseau public. On le comparerait plus logiquement à un espace public, comme la rue.

Un site web, une application en ligne, sur un espace public, destiné à servir des fichiers au public, c’est donc plutôt comme un banc public dans la rue, quelque chose de bien visible, destiné à l’usage de tous qu’il faut le voir, et non une maison (dont on sait forcément qu’elle appartient à quelqu’un, ou une voiture ou encore un ordinateur).

Pour que les comparaisons de Maître Daoud soient fidèles à notre cas, il aurait fallut parler d’un banc public dans une rue. Il aurait fallu que je devine que ce banc public n’était pas public. C’est là tout le problème.

Pire… si le tribunal a considéré qu’il y avait une faille de sécurité, ce n’était pas le cas. La fonction d’un serveur web, c’est de servir des fichiers. Si on veut en restreindre l’accès, il faut une intervention humaine. La faille n’était donc pas technique mais humaine.

Comme si  on avait voulu restreindre l’accès à un banc public dans une rue on y aurait placé un panneau « propriété privée »… ou coller du barbelé autour…

Je passe sur les interprétations de la cour d’appel et de l’amalgame crétin entre authentication et permissions, je viens de l’expliquer ici… mais par pitié, comprenez une bonne fois pour toute que ce n’est pas parce que j’avoue qu’il y a une authentification sur la page d’accueil qu’il faut impérativement en déduire que tout est privé, c’est techniquement totalement absurde.

Oups ! Ce n’est pas ma voiture

Mû par la curiosité, je fouille le véhicule et trouve des santiags qui me plaisent et décide de les conserver.

Il s’agit là d’une soustraction de la chose d’autrui… un vol. Mon crime est d’avoir copié des documents publics sur des questions de santé publique qui se trouvaient dans un espace public… J’ai pris une photo de quelque chose sur un banc public qui n’était privé que dans la tête de son propriétaire, sans rien pour le signaler, au beau milieu d’une rue. Je n’ai pas été poursuivi pour contrefaçon, mais pour « vol ».

Oups ! Ce n’est pas mon ordinateur

Dans un ordinateur, il y a de fait des données à caractère personnel. ce n’était pas du tout le cas du dossier auquel j’ai accédé. En outre pour Xe fois, il a été expliqué que ces documents n’étaient PAS confidentiels comme on peut le lire ici ou là.

Oups ! Ce n’est pas ma maison

La maison est un espace fermé. Il y a des murs, des fenêtres, des portes. Il y a quelque chose qui délimite clairement l’espace public et l’espace privé. Ce n’est pas le cas d’une application web sur un réseau public quand des permissions claires ne sont pas appliquées et quand rien ne le signale.

.. Donc : oups, ce banc public n’était pas public.

D’ailleurs, imaginez que je décrète dans ma tête que l’article que vous venez de lire est privé… ça me donnerait le droit de porter plainte contre vous pour accès et maintien frauduleux à cette page ?

Ça devient fatigant…

Oui, ça devient fatigant d’avoir à ré-expliquer 50 fois les mêmes choses…

NON NON ET NON
NON NON ET NON

Non, les documents de l’ANSES n’étaient pas confidentiels .. ceci est consigné dans les PV, l’ANSES n’était même pas partie civile en première instance ! Ces documents n’avaient rien de confidentiels. L’ANSES a bien cru à un piratage, mais après vérification, elle a parfaitement compris qu’il n’y avait ni piratage ni documents « confidentiels ». Il s’agissait d’études, pleines de chiffres pour la plupart, difficilement interprétable pour des non chercheurs.

Et encore NON !
Et encore NON !

Et bien non et encore non… je ne suis pas arrivé au « coeur de l’extranet », d’ailleurs c’est quoi le coeur de l’extranet ? Pour moi le coeur de l’extranet ça aurait été la base de données, contenant mots de passes et toutes les données … mais voilà, ce n’est pas ce que je cherchais, et heureusement car j’aurais par exemple pu tomber au piff sur un répertoire /backups avec des données peut-être autrement plus sensibles…

Je suis arrivé dans un répertoire nommé xxxx/DOCS ne contenant NI DONNEES PERSONNELLES, NI FICHIERS SYSTEMES pouvant me laisser penser que je me trouvais dans un espace « sensible »… ce n’est pas comme si je m’étais trouvé par exemple ici (oui ils sont prévenus depuis plusieurs semaines, voir mois, mais je pense qu’ils s’en foutent, et puis un jour on met des documents « confidentiels » qui se retrouvent indexés par Google hein…)

Je n’étais pas dans  /DOCSCONFIDENTIELS

non… juste /DOCS

… Sans aucune indication sur le caractère privé ou confidentiel de ce répertoire.

Et depuis quand le fait d’arriver sur une page d’accueil avec un champs d’identifiant et de mot de passe a une influence automatique et absolue sur les permissions de tous les sous-répertoires ?

Je n’ai pas su expliquer au juge la différence entre authentification et permissions des sous-répertoires, il faut dire qu’ayant déjà du mal à prononcer correctement Google, tenter une explication était de toutes façons voué à l’échec… ou peut-être n’a t-il tout simplement pas voulu entendre que s’il y a bien un champs d’identifiant et de mot de passe sur Facebook et Twitter par exemple, ceci ne veut pas dire que tout ce qu’il y a sur ce site est privé ou confidentiel.

Mais là où cet article de France 3 va encore plus loin que le juge, c’est quand il affirme

Le fait d’avoir téléchargé les 8000 documents ne plaide pas en sa faveur car cela tend à prouver qu’il craignait de ne pas pouvoir accéder à nouveau à ces documents.

C’est quelque chose que j’ai maintes fois expliqué, si j’ai téléchargé ces documents, c’est pour pouvoir chercher dans leur contenu en utilisant l’indexation de ma machine.

Oui dans la tête d’un juriste qui ne sait pas ce qu’est une authentification et une permission, c’est « normal » de me condamner, oui dans la tête d’une personne qui préfère ouvrir un par un des documents pour chercher des mots dedans au lieu de lancer un cat *.doc |grep foo c’est normal de me condamner… Et après ? Et après j’ai envie de mettre ça sur le compte de l’e-gnorance, mais même ça j’ai un peu de mal.

 

 

La différence entre un #VPN et Garcimore

Suite à ma récente condamnation par la Cour d’Appel de Paris (appel formé par le parquet suite à ma relaxe en première instance), pas mal d’articles circulent sur Internet et je vois revenir des éléments techniques parfois mal interprétés (et souvent proches du raisonnement de la cour d’appel). En plus du classique débat sur l’authentification à la racine de l’extranet, le cas assez emblématique est celui du VPN.

Un VPN est un réseau privé virtuel. Il permet de se connecter d’un point A à un point B de manière souvent chiffrée.

L’une des citations largement reprise, c’est celle ci :

Il y avait trouvé et téléchargé huit mille documents, par l’intermédiaire d’un réseau privé virtuel (VPN) vers une adresse IP située au Panama, ce qui explique que l’opération soit passée inaperçue

… Là, par exemple ce qui est en gras est un non-sens.

Les petits dessins

vpn1

Un VPN sert aussi bien à dissimuler son identité qu’il répond au besoin contraire, c’est à dire se connecter de manière sécurisée et parfaitement authentifiée, sans craindre l’interception de données par des tiers, par exemple pour se connecter à son compte bancaire ou à l’intranet de sa rédaction, quand on est un journaliste qui couvre les jeux olympiques d’hiver à Sotchi. La vocation première d’un VPN, c’est la protection de vos données personnelles et de votre identité sur Internet. Un VPN aujourd’hui devrait être une norme, proposée sans supplément par vos fournisseurs d’accès Internet.

Un internaute sans VPN, c’est ça :

ConnexionInternetNonSecure-413x550

Mythbusting

Je précise que sur la machine et le système (Debian GNU Linux) qui nous intéresse, le VPN se lance au démarrage de ma machine, l’adresse IP panaméenne m’est donc attribuée mais je peux choisir un point de sortie localisé dans un autre pays (Suisse, USA, Suède…), ou mieux si j’avais vraiment voulu brouiller les pistes, par un bridge TOR qui change mon adresse IP visible toutes les 10 minutes et spécialement dédié à renforcer l’anonymisation des connexions (mais pas de les rendre invisibles).

Si les enquêteurs sont remontés jusqu’à moi, c’est bien parce qu’ils m’avaient identifié, grâce à un tweet parfaitement public où j’appelais des journalistes à nous aider à comprendre les documents, ou peut-être justement parce que l’objet de la plainte, c’était un article sur Reflets.info… bref le VPN n’a rien à voir dans cette histoire.

Mais alors pourquoi c’est passé inaperçu ?

Tout simplement parce qu’il n’y a eu ni intrusion pour y accéder et donc justifiant de faire hurler un pare-feu, ni comportement déviant caractérisé par un téléchargement des contenus du répertoire, qui, encore une fois, ne comportait que des documents bureautiques et aucun fichier système pouvant mettre la puce à l’oreille que le repertoire n’avait pas à être public). Les octets naissent sur le papier libres et égaux en droits, et quand ils croisent le douanier du firewall de l’ANSES, ce dernier fait son travail correctement :

Accès régulier et usage régulier = rien à signaler.

Il aura fallu que l’ANSES constate un article publié sur Reflets et utilisant ces documents pour se rendre compte que ces documents, au bout du compte, c’est peut être pas normal qu’ils soient accessibles… c’est amusant car la vérification aurait par exemple pu être faite avant de porter plainte pour « piratage » non ?

Conclusion ?

Je ne suis pas Garcimore 🙁


Les Visiteurs Du Mercredi Garcimore par SUN42

Du délit de maintien dans un espace public

Capture d’écran 2014-02-10 à 13.29.14Je commence à me faire à ma vie toute neuve de cybercriminel. Il faut bien comprendre que tout ça est arrivé très vite 😉
Je voulais simplement aujourd’hui faire la lumière sur les détails techniques qui ont conduit la cour d’appel à me condamner sur la notion de maintient dans un STAD.

Le répertoire de documents était sur l’url https://extranet.anses.fr/Docs En remontant l’arborescence, à la racine de l’extranet et surtout, de l’application web qui constitue le système d’information, on trouve une autentification, comme sur des millions de sites web parfaitement publics, ce n’est pas parce qu’on a une authentification en un point d’une arborescence que tout ce qui se trouve en dessous dans cette arborescence est privé, l’usage démontre le contraire. Mais j’insiste sur le terme application que j’oppose à un répertoire /Doc servi de manière brute par le serveur web Apache, sans aucune mise en forme. Si ce n’est pas fait, pour bien comprendre tout le contexte, vous pouvez vous référer à ce billet (sa lecture est souhaitable pour appréhender la suite).

Les faits :

  • L’URL https://extranet.anses.fr/Docs est accessible sans authentification, via une simple recherche Google ;
  • Nous avons une authentification sur https://extranet.anses.fr/ : il s’agit d’une page web, une application web ;
  • Dans https://extranet.anses.fr/Docs on ne trouve aucun fichier système dans ce répertoire. Quand je suis tombé sur ce répertoire, il faut bien comprendre qu’il n’y avait que des documents bureautiques, aucun fichier ou répertoire système, aucun backup de base de données, aucun mot de passe, AUCUNE DONNEE PERSONNELLE : de tels éléments m’auraient conduit, comme je le fais régulièrement, à m’arrêter là et à avertir l’ANSES. Il faut également comprendre qu’il s’agissait d’une vue par défaut d’un répertoire Apache, sans aucun avertissement du caractère privé des données qu’il peut contenir, juste un container pour documents bureautiques.

Pour tous les fans de l’analogie de la maison de la porte et de la serrure, comprenez svp cette maison n’avait aucun mur, aucune porte ou fenêtre, pas de boite à lettres, ni même panneau « propriété privée » !

Comment irais-je tirer la conclusion que ces documents ne sont pas placés ici pour un partage volontaire au public ? Non seulement, contrairement à ce qui a été affirmé par la cour d’appel, ce répertoire est bien public et accessible au monde entier, mais en plus de ça, rien n’indique qu’ils n’ont pas à l’être. On ajoutera que le répertoire était en plus hors de gestion du système de gestion de contenus et donc des permissions naturelles de ce dernier. Pourquoi l’avoir placé ici, en dehors l’application d’extranet qui demande une authentification, sur un espace bien public et sans authentification si ce n’est pas volontaire ?

« Certes, le simple rappel des faits montre que l’intéressé a d’abord bénéficié d’une faille de sécurité, qui permettait d’accéder à des espaces conçus comme confidentiels. » peut -on lire chez Libertécherie qui transcrit bien ce que me reproche la cour d’appel, sauf que… c’est factuellement faux, mais le mot est lâché : FAILLE.

J’ai fais ce que tout internaute fait sans y prêter attention chaque jour quand il surf sur des pages web. J’ai posé à un moteur de recherche une question, il m’a répondu sous forme de liens, j’ai cliqué sur un lien, le serveur m’a répondu ok voici le document. Nous allons revenir tout de suite à cette histoire de faille imaginaire.

Le mot « extranet » lui même ne qualifie pas un espace privé, il qualifie en pratique un espace de travail collaboratif, sur lequel, grâce au bon outil, on contrôle la diffusion de l’information. Le répertoire /Doc n’était manifestement pas géré par la logique du système de gestion de contenu, donc le système d’information soumis à restrictions. Il était bien publiquement partagé, hors de l’application du SI de l’extranet de l’ANSES, par un accès standard Apache qui rappelons le est une FONCTIONNALITE PAR DEFAUT de ce logiciel, sa raison d’être… et aucunement une FAILLE. Si faille il y a eu, c’est une faille humaine, et non une faille logicielle.

Concernant la nature confidentielle des documents, elle est infirmée par l’ANSES elle-même. On trouve toujours certains de ces documents en ligne sur Google Docs publiés par les auteurs eux mêmes, l’ANSES a bien expliqué dans un PV que ces documents ne sont pas confidentiels. C’est ici  intéressant car la cour s’obstine à donner une importance capitale à ces documents. Si on peut comprendre la vision fantasmée que la cour peut se faire d’Internet, la vision fantasmée des travaux de recherche publique de l’ANSES, me semble un peu plus curieuse… je trouve ça limite anxiogène.

Comment la cour en arrive t-elle à la conclusion « évidente » que cette fonctionnalité est une faille ?

« il est remonté jusqu’à la racine du site pour finalement constater que pour redescendre dans les répertoires intéressants il était nécessaire de disposer d’un login et d’un mot de passe« . Peut-on lire chez Presse-Citron.

Remonter à la page d’accueil d’un site ou d’une application web… l’exploitation d’une faille ?
La cour d’appel a jugé mon intention de me maintenir dans un espace public ! C’est une première en France et probablement en Europe. En me déclarant coupable d’un délit d’intention que l’analyse des faits infirme totalement, mais en m’opposant une citation issue des PV hors de tout contexte où je confirme avoir vu une authentification à la racine du site. Oui je n’ai jamais nié qu’il y avait une authentification à la racine du site, ce que je réfute totalement, c’est la déduction que cette authentification devait forcément s’appliquer à un répertoire du serveur web ne contenant aucun fichier système, aucun document confidentiel, aucune donnée personnelle, d’une agence publique sur des questions de santé publique… Sérieusement ?

« Sur le maintien frauduleux, la cour retient qu’entendu au cours de la garde à vue, Bluetouff a reconnu s’être baladé dans l’arborescence des répertoires en remontant jusqu’à la page d’accueil, où il a constaté la présence d’une authentification par login / mot de passe. Fatalitas. » peut on lire chez Maitre-Eolas qui constate à juste titre le raisonnement de la cour, une fois qu’elle eu évacué toute considération de réalité technique.

Merci à tous pour toutes vos réactions.

Cher contribuable, je te demande pardon

Capture d’écran 2014-01-10 à 11.26.25Cher contribuable, je te demande pardon. Je te demande pardon car je me rends aujourd’hui compte que je suis peut-être l’auteur de la recherche Google qui t’aura coûté le plus cher.

Nouvel épisode aujourd’hui de ma pseudo affaire qui m’opposait tout récemment en appel (un appel du Parquet, le plaignant initial n’étant pas partie civile) : voici que l’indexation de documents publics pas publics qu’il ne faut pas publier même s’ils sont publiquement accessibles sur un site du service public et qu’ils touchent à des questions de santé publique… fait son entrée  dans le code de la santé publique.

Il s’agit de l’Arrêté du 3 décembre 2013 relatif aux conditions de fonctionnement du site internet public unique mentionné à l’article R. 1453-4 du code de la santé publique et de son article 7 qui dispose

L’autorité responsable du site internet public unique prend les mesures techniques nécessaires pour assurer l’intégrité du site sur lequel elle rend publiques les informations mentionnées à l’article R. 1453-3 du code de la santé publique, leur sécurité et la protection des seules données directement identifiantes contre l’indexation par des moteurs de recherche externes.

Il fallait bien une loi pour expliquer aux administrations que comme n’importe qui, elles sont responsables de ce qu’elles mettent à disposition du public.

bortz rule

 

C’est vraiment consternant de voir qu’on est obligé de légiférer sur des tautologies et qu’en revanche, en matière de procédure de test avant la mise en production d’une application en ligne, probablement rien n’a changé…

Plus de pixels : 

CyberCrime@Octopus (DG1/3021)

UE-MS-failLa lutte contre la cybercriminalité ne se met pas en place qu’au niveau national avec les différents outils que nous connaissons aujourd’hui ou avec la Loi sur la Programmation Militaire (relative à la cyberdéfense et à la « prévention » des risques). Au niveau européen, ça bouge également. Nous connaissions déjà INDECT visant à mettre en place des outils de détection comportementale. Voici aujourd’hui le projet CyberCrime@Octopus : Octopus Project (PDF 175Ko).

CyberCrime@Octopus est porté par le Conseil de l’Europe et résulte de la convention de Budapest sur la prévention de la cybercriminalité, la lutte contre délinquance économique, la xénophobie et le racisme, et de la protection de l’enfance (…) bref, on ratisse assez large.

Notez que sur le papier, ce projet se veut très respectueux des libertés publiques, notamment en matière de confidentialité, de respect des procédures etc… il n’y aurait donc pas de quoi crier au loup au niveau européen, mais le regard critique peut venir de l’examen des outils techniques et juridiques mis en place dans chaque états membres que la Convention de Budapest vise à souder au sein de la CE, en proposant des passerelles d’échanges et de mutualisation entre états membres. La coopération policière est une nécessité, la délinquance ne l’ayant pas attendu. Ce n’est donc pas CyberCrime@Octopus lui même qui pose problème, il est même plutôt apporteur de solutions.

Dans le document qui décrit le projet CyberCrime@Octopus, on apprends que 2012 et 2013 ont marqué pour la Convention de Budapest un soutien politique, et donc un budget, pour mettre en place des outils dédiés. Une coopération accrue entre états membres portant sur l’accès aux données est notamment évoqué. Jusque là, rien de plus normal… mais le Projet CyberCrime@Octopus c’est aussi et surtout des intervenants privés. Et c’est là que ça se complique.

The Cybercrime Convention Committee (T-CY) assumed a stronger role, among other things by preparing Guidance Note as well as working on solutions for transborder access to data.

On parle ici d’accès transfrontalier aux données, rien de plus normal entre services européens, et puis de toutes façons, même si nos services n’échangeaient pas entre eux, il y aurait toujours le GCHQ britannique pour tout aspirer et communiquer les données des européens à la NSA.

Le chapitre français du projet s’est tenu à Strasbourg en juin 2012 porté par la division de la protection de données et de la cybercriminalité DG des droits de l’homme et de l’état de droit
Conseil de l’Europe portait sur les points suivants :

Points clés

  • L’accès transfrontalier aux données et la compétence dans le contexte de « cloud computing »
  • La mise en commun de l’ information

Mise à jour

  • Les menaces de la cybercriminalité et la tendance
  • La mise en œuvre de la Convention de Budapest sur la cybercriminalité
  • Les politiques et les initiatives des organisations internationales et du secteur privé dans le domaine de la cybercriminalité

Ateliers

  • La législation: l’état des lieux de la législation sur la cybercriminalité
  • La protection en faveur des enfants contre l’exploitation sexuelle
  • La sécurité et les droits fondamentaux : la protection des données personnelles et la sauvegarde et les conditions de procédure

Et COnseil de l’Europe, à votre avis, elle fait quoi après avoir « vivement réagi » suite aux révélations d’Edward Snowden ?

Un OpenBar à l’européenne ?

Elle se réjouit de son partenariat avec Microsoft …normal. Reste plus qu’à connaitre les modalités de ce partenariat et sur quoi porte ce partenariat et la contribution de Microsoft dont la Commission semble si fière… un système d’échange de données transfrontalier que l’on confierait à une entreprise soumise au Patriot Act?

« Nous nous réjouissons de poursuivre notre partenariat de longue date avec le Conseil de l’Europe pour promouvoir la Convention de Budapest sur la cybercriminalité. Notre priorité est de créer un environnement informatique plus sûr, plus fiable et mieux protégé. Nous avons pris l’engagement de respecter la vie privée et la sécurité des utilisateurs. Il est essentiel de soutenir le travail du Conseil de l’Europe dans ce domaine important pour atteindre ces deux objectifs »

 

Interceptions légales, technologies duales et commerce d’armes électroniques entre amis

Un échange sur Twitter avec Nicolas Caproni ce jour me pousse à écrire ce petit billet. Dans un Tweet un peu moqueur, Nicolas, que je lis par ailleurs, me reprochait, en dehors de ne pas parler « des vraies inquiétudes des français » (désolé Nicolas mais je ne me présente pas aux prochaines municipales), une forme d’angélisme qui m’aurait fait récemment découvrir un truc dingue… que la France collabore avec ses alliés sur des problématiques de renseignement. L’objet du délit était cet article publié sur Reflets dans lequel Nicolas me reprochait mon « ton dramatique » et ma conclusion… d’ailleurs à ce sujet je n’ai toujours pas bien compris, attendu que l’article ne présente pas de conclusion mais le rappel d’un scénario totalement fictif déroulant une thèse que j’appuie depuis maintenant 2 ans.

Capture d’écran 2013-11-23 à 19.42.11

Il y a probablement eu une légère distortion dans les intertubes pour que Nicolas et quelques autres puissent en venir à la conclusion que ceci me surprenait, mais ce n’est pas là le plus gênant de l’affaire. Notre discussion un peu animée nous amène assez naturellement à discuter du bien fondé de l’existence même d’outils destinés à intercepter l’ensemble des communications d’un pays.

Et là, il y a comme un désaccord entre nous. Il y a surtout quelque chose qui me dérange profondément émanant d’une personne sensibilisée à ces thématiques comme l’est Nicolas.

Oui je suis révolté que ce type d’outil existe, oui je suis révolté qu’on les vendent à des pays qui en ont besoin, je suis encore plus révolté que l’on puisse en avoir besoin… demandez vous seulement quel genre de pays a comme besoin de placer l’ensemble de sa population sur écoute… Oui je suis révolté que l’on puisse assimiler la mise sur écoute de l’ensemble d’une population à de l’interception légale.

L’interception légale « nation wide », un nouveau concept

Quand on parle d’interceptions, on se doit de différencier les interceptions légales des interceptions administratives. Les interceptions légales se font sous le contrôle d’un juge, sur sa demande, dans le cadre d’une investigation judiciaire. Les interceptions administratives se font sous le contrôle du cabinet du premier ministre, et naturellement, de manière un peu candide, j’espère que mon premier ministre ne cautionne pas la mise sur écoute de toute sa population.

Il n’y a, à ma connaissance aucun juge qui ait ordonné de placer l’ensemble d’une population sur écoute.

On peut donc se réfugier derrière des postures pour placer un bon mot sur Twitter, mais je trouve tout de même ahurissant que des professionnels de l’IT amalgament ces outils à caractère massif, dont l’usage avoué est de s’appliquer à l’ensemble des communications d’un pays, à des « technologiques duales grand public » « destinées à de l’interception légale ».

On peut se réfugier derrière une posture en pointant du doigt une évidence technique qui était un secret de polichinelle… et encore… combien sommes nous à dénoncer cette pratique depuis des années ?… mais on ne peut nier le caractère choquant et « alégal » de ces pratiques.

De la technologie duale

Capture d’écran 2013-11-23 à 19.48.57

Que le deep packet inspection existe, c’est très bien, je n’ai rien contre, Mais l’exemple de Nicolas est assez mal venu lorsque l’on parle d’outils manifestement dédiés à la mise sur écoute de l’ensemble de la population d’un pays. Si je devais reprendre l’exemple du nucléaire cité par Nicolas, ça reviendrait à dire « les bombes nucléaires, c’est pas un problème que ça existe, c’est quand on s’en sert que ça colle au plafond » … C’est d’ailleurs le discours que vous tiendra n’importe quel marchand d’arme.

Et moi quand je lis le manuel, ce n’est pas le nucléaire que je fustige mais bien la bombe.

caramba-550x451

Et quand on fabrique des bombes, toutes aussi duales et « grand public » soient elles… il suffit de se pencher sur la liste des clients pour commencer à se poser quelques questions. Juste pour rire, voici les pays qui ont acheté un Eagle à Amesys :

  • Qatar
  • Maroc
  • Kazakhstan
  • Arabie Saoudite
  • Gabon
  • Libye

Evidemment, pas un instant on pourrait se douter que ces pays, un jour, ne se livrent à des violations des libertés fondamentales de leur population grâce à ces outils.

Encore une fois… quand on file ce genre d’outils à un taré… qu’est ce qu’il en fait à votre avis ?

Et bien il s’en sert.

L’histoire est aussi là pour nous rappeler que ce n’est pas une « petite dictature » qui a lâché la première bombe atomique.

 

#Cloud #Quantique : La phrase qu’elle est con du #Trolldi

cloudASPSERVEUR quand à elle (dont je suis le CEO) propose le premier Cloud Quantique au monde, c’est-à-dire que les Machines Virtuelles sont présentes de manière parfaitement synchrone sur deux Datacenters.

Sourcehttp://www.silicon.fr/cloud-france-cloudwatt-numergy-kurt-salmon-82509.html 

N’empêche qu’avec un bon sysadmin inuit, une bonne paire de moufles, des moonboots, et en changeant de support de stockage très régulièrement… c’est pas con.

Sécurité : l’après Snowden vu du smartphone d’un eurodéputé

Quand le scandale a été révélé, j’émettais déjà de sérieux doutes sur les postures indignées des politiques et sur notre capacité à réagir sérieusement. Aujourd’hui Médiapart révèle une affaire (accès payant) qui ne fait qu’apporter de l’eau à notre moulin. Des milliers de mails d’eurodéputés auraient été compromis, et Médiapart d’enfoncer le clou affirmant que bon nombre d’institutions restent des passoires.

Choix techniques ridicules (Microsoft Exchange), comportements irresponsables (on se connecte avec son smartphone au premier hospot public à la terrasse de café d’en face), manque cruel de sensibilisation la plus basique aux outils pourtant aujourd’hui indispensables (hein ? Quoi ? un VPN, c’est quoi ?)…

On peut blâmer les programmes de surveillance américains, mais qui faut-il blâmer quand on se rend compte que l’espionnage de nos institutions est à la portée de presque n’importe qui pour un budget d’une centaine d’euros ?

La démission résignée des utilisateurs

L’article de Mediapart nous apprends quelque chose que nous soupçonnions déjà : en plus d’utiliser Microsoft Exchange depuis une terrasse de café en wifi sur un smartphone, aucune authentification multi-facteurs n’est mise en place.

J’ai eu l’occasion de d’échanger avec des groupes politiques, français ou européens. Leur calcul est le suivant : comme leurs travaux étant destinés au public, ils estiment ne pas avoir à observer de mesures de sécurité particulières. Une marque de transparence ? De l’inconscience ? Je laisse à chacun se faire son opinion là dessus mais celà ne revient-il pas au fameux « je n’ai rien à cacher ».

Le mail est un outil d’importance vitale dans le quotidien d’une formation politique, c’est par exemple par là que circulent des propositions de loi à peine à l’état d’ébauche. Intercepter en amont ce qui va devenir une proposition de loi, c’est s’assurer d’un lobbying ultra efficace. Et à votre avis ? Que font les américains ?

Insecurity by Design

D’une manière générale, la confidentialité des communications, c’est l’un des grands échecs du 21e siècle. Pourquoi ? Parce que tout a été fait, à la base, pour l’annihiler : centralisation, absence de couche de chiffrement native dans l’immense majorité des protocole, contre-éducation n’ayant jamais incité à observer de bonnes pratiques… Le pire, c’est qu’on ne peut pas passer notre temps à blâmer uniquement les utilisateurs, les industriels ont une grande part de responsabilité, tout comme les responsables informatiques qui ont relégué les utilisateurs au rang de gamin qu’on ne prendra surtout pas le temps d’éduquer… un grand mal du 21e siècle.

Aujourd’hui un responsable informatique qui offre les clés d’une administration en signant des contrats à Microsoft pour plusieurs millions d’euros devrait être viré pour faute lourde… Comme ce’ scandaleux contrat de 19 millions d’euros lui aussi révélé par Médiapart à destination du ministère de la défense :

EPSON MFP image

 

Administrations, mais aussi fournisseurs d’accès Internet offrant des services « pros » aux entreprises.

Démission des politiques

La député Isabelle Attard dresse elle même un constat fort juste du rapport que peuvent avoir les dirigeants face aux problématiques liées à la confidentialité des échanges à l’ère du tout numérique :

 « il y a une totale méconnaissance de ces problématiques par les décideurs politiques »« Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n’en voient pas l’intérêt. On me dit « Isabelle, tu exagères… », voire « Tu es parano », même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10-12 députés, tous bords confondus. »

Démission des professionnels

Face aux murs, au lobbying de puissantes entreprises américaines, les professionnels de la sécurité ou du logiciels libres sont eux aussi tentés de démissionner de leur rôle pédagogique. Un premier ministre peut signer toutes les directives favorables à l’utilisation du logiciel libre dans les administrations qu’il voudra… si ces administrations continuent de signer tout et n’importe quoi avec des Microsoft, des Google, des Oracle…. il ne faut pas s’étonner de les voir mourir ou aller chercher des débouchés ailleurs.