Articles

Publié le

DPI : Stonesoft découvre une AET (Advanced Evasion Technique ) sur les solutions d’inspection de contenus

Il va se passer aujourd’hui quelque chose de drôle… de très drôle… Je n’ai pas encore réussi à obtenir plus d’information sur la vulnérabilité dont il est fait état dans ce communiqué de presse ni son impact sur des technologies d’inspection de contenu que certains aimeraient utiliser pour faire la chasse aux contenus copyrightés, en tout cas, vu d’ici, je sens la bonne barre de rire en perspective.

Le CERT-FI devrait dans la journée nous apporter plus d’information mais en gros, STONESOFT aurait découvert une technique avancée d’évasion qui permettrait la compromission d’un grand nombre de technologies d’inspection de contenu. Pour le moment, impossible de dire si cette découverte aura un impact sur les technologies de deep packet inspection que certains souhaitent mettre à disposition de la chasse aux fichiers copyrightés. Cette information à prendre avec des pincettes, donnerait un terrible écho à ce billet ainsi qu’à celui ci si elle venait à être confirmée et si son impact sur les technologies de DPI était mis en évidence.

Voici le communiqué de la société :

Communiqué de presse

Découverte d’une nouvelle menace de sécurité : les entreprises du monde entier menacées

Des techniques d’évasion avancées capables de traverser la plupart des équipements de sécurité réseau ont été découvertes.

Levallois-Perret, le 18 octobre 2010 – Stonesoft, fournisseur innovant de solutions de sécurité réseau intégrées et de continuité de l’activité annonce aujourd’hui avoir découvert une nouvelle forme de techniques avancées d’évasion (AET = Advanced Evasion Techniques) qui menacent très sérieusement les systèmes de sécurité du monde entier. Cette découverte vient compléter et renforcer ce qui est déjà connu des techniques d’évasion dites plus classiques. L’information a été remontée au CERT et aux ICSA Labs qui ont également validé son sérieux et son fondement.

Les AET sont l’équivalent d’un passe-partout permettant aux cybercriminels d’ouvrir les portes de tout système vulnérable comme un ERP ou un CRM. Elles sont en effet capables de contourner les systèmes de sécurité réseau sans laisser aucune trace. Pour les entreprises, cela signifie qu’elles risquent de perdre des données confidentielles. Par ailleurs, on peut tout à fait imaginer que des cyber terroristes s’appuient sur ces AET afin de mener des activités illégales pouvant avoir des graves conséquences.

La découverte a eu lieu dans les laboratoires de recherche de Stonesoft basés à Helsinki. Les experts ont ensuite envoyé des échantillons et remonté l’information à l’organisme de sécurité nationale finlandais le CERT ainsi qu’aux laboratoires ICSA (division indépendante de Verizon Business) qui testent et délivrent des certifications aux solutions de sécurité et aux équipements connectés au réseau. Le CERT-FI, chargé coordonner au niveau mondial les parades aux vulnérabilités identifiées, en collaboration avec les éditeurs de sécurité réseau, a publié, le 4 octobre quelques
informations sur ces techniques avancées d’évasion et les mettront à jour, aujourd’hui même.

Les vulnérabilités identifiées par Stonesoft touchent un grand nombre de technologie d’inspection du contenu*. Pour contrer ces vulnérabilités, une collaboration permanente du CERT-FI de Stonesoft et des autres éditeurs de sécurité réseau est absolument essentielles. Le CERT-FI s’efforce de faciliter cette coopération » explique Jussi Eronen, à la tête du département Coordination sur les Vulnérabilités.

Juha Kivikoski, COO chez Stonesoft explique : « Beaucoup de facteurs nous poussent à croire que n’avons découvert que la partie émergée de l’iceberg.  La nature dynamique et indétectable de ces techniques avancées d’évasions peut potentiellement bouleverser l’ensemble du paysage de la sécurité réseau. Le marché rentre désormais dans une course sans fin contre ce nouveau type de menaces avancées et il semblerait que seules les solutions dynamiques pourront tirer leur épingle du jeu. »

« Stonesoft a découvert de nouvelles techniques de contournement des systèmes de sécurité réseau. Les laboratoires ICSA ont validé les recherches et la découverte de Stonesoft. Par ailleurs, nous pensons que ces techniques avancées d’évasion peuvent avoir des conséquences pour les entreprises touchées, comme entre autres la perte de données stratégiques et
confidentielles » déclare Jack Walsh, directeur des programmes IPS (Système de Prévention des Intrusions) chez ICSA Labs.

Les AET « dans la nature »

C’est à l’occasion du test de leurs propres solutions de sécurité réseau StoneGate face à des nouvelles attaques élaborées que les experts de Stonesoft ont découvert cette nouvelle catégorie de menaces. Les tests en conditions réelles et les données recueillies lors de l’expérience démontrent que la plupart des solutions de sécurité réseau n’ont pas su détecter ces AET et n’ont, par conséquent, pas pu les bloquer.

Stonesoft soutient l’idée que des pirates du monde entier sont peut-être déjà en train d’exploiter ces AET pour lancer des attaques élaborées et très ciblées. Seuls quelques produits sont à même de fournir une protection contre ce phénomène, les entreprises doivent donc mettre en place un moyen de défense très rapidement.

Quel est le meilleur moyen de se protéger contre une AET ?

Pour se protéger de ces techniques d’évasion dynamiques et en constante évolution, il est nécessaire de s’équiper de *systèmes logiciels de sécurité capables de se mettre à jour à distance et d’être administrés de façon centralisée.  Ces systèmes possèdent un avantage indéniable en termes de protection contre des menaces aussi dynamiques que les AET. Stonesoft fait partie des acteurs délivrant ce type de solutions, via sa gamme StoneGate.

Cependant, la grande majorité des équipements de sécurité réseau dans le monde sont des solutions matérielles, pour lesquelles il est difficile voire impossible de se mettre à jour au même rythme que ces techniques d’évasion, qui mutent en permanence.

Pour en savoir plus sur les techniques d’évasion et participer au débat sur la façon de les combattre, connectez-vous au site www.antievasion.com
Pour plus d’informations sur les solutions StoneGate de Stonesoft, rendez-vous à l’adresse suivante : www.stonesoft.com

Centre Mondial d’information 24h/24 sur ce sujet : + 358 40 823 7511

Contact presse ICSA Labs :
Brianna Carroll Boyle,
Public Relations Manager
Verizon and ICSA Labs
+1 703-859-4251
[email protected]

Le CERT-FI encourage les personnes désireuses de communiquer par email à utiliser la clé PGP. La clé est disponible est disponible à cette adresse :
https://www.cert.fi/en/activities/contact/pgp-keys.html
Les politiques du groupe de coordination sur les vulnérabilités sont disponibles à l’adresse suivante :
https://www.cert.fi/en/activities/Vulncoord/vulncoord-policy.html

A propos de Stonesoft :
Stonesoft Corporation (OMX : SFT1V) est un fournisseur innovant de solutions de sécurité réseau intégrées. Ses produits sécurisent le flux d’informations à l’échelle d’entreprises distribuées. Les clients de Stonesoft sont notamment des entreprises dont les besoins commerciaux croissants requièrent une sécurité réseau avancée et une connectivité professionnelle permanente.

La solution de connectivité sécurisée StoneGate™ fusionne les aspects de la sécurité réseau que sont le pare-feu (FW), le réseau privé virtuel (VPN), la prévention d’intrusion (IPS), la solution de réseau privé virtuel à technologie SSL (SSL VPN), la disponibilité de bout en bout, ainsi qu’un équilibrage des charges plébiscité, au sein d’une appliance dont la gestion est centralisée et unifiée. Les principaux avantages de la solution de connectivité sécurisée StoneGate se traduisent notamment par un coût total de possession faible, un excellent rapport prix/performances et un retour sur investissement élevé. La solution StoneGate virtuelle protège le réseau et assure une continuité de service aussi bien dans les environnements
réseaux virtuels que physiques.

La solution SMC (StoneGate Management Center) permet une gestion unifiée des solutions StoneGate Firewall with VPN, IPS et SSL VPN. Les solutions StoneGate Firewall et IPS fonctionnent en synergie pour fournir une défense intelligente à l’échelle du réseau de l’entreprise toute entière, tandis que la solution StoneGate SSL VPN renforce la sécurité dans le cadre d’une utilisation mobile et à distance. Fondé en 1990, Stonesoft Corporation a son siège mondial à Helsinki, en Finlande, et un autre siège social aux États-Unis, à Atlanta, en Géorgie.

Pour plus d’informations sur Stonesoft Corporation, ses produits et services, consultez le site www.stonesoft.com – le blog institutionnel :http://stoneblog.stonesoft.com
Publié le

Tu es jeune chef d’entreprise et tu innoves? … alors casse toi pauvre con


Il y a retraites ... et retraites parlementaires...

Réaction à vif suite à un tweet de Pierre Col qui me fait tomber avec horreur là dessus. Le gouvernement aurait pour projet, dans sa loi de finances de 2011, de mettre un coup de rabot à 50 millions sur le statut de JEI (jeune entreprise innovante) qui permet à de petites sociétés fraichement constituées de bénéficier d’éxonérations leur permettant un accès facilité au coût du travail dont elles ont souvent vraiment besoin. On savait le gouvernement peu porté sur l’innovation, la recherche et d’une manière générale tout ce qui est secteurs porteurs, préférant se concentrer sur les industries du siècle passé (comme celle des moines copistes de DVD)… mais là je suis tout simplement ulcéré. Je vous invite d’ailleurs si vous pratiquez ce média social à rejoindre le groupe Facebook Sauvons les JEI.

J’ai le sentiment que c’est là encore une parfaite illustration d’une politique qui ne sait plus où racler du fond de tiroir pour masquer ce qui ressemble bien à une hausse de la fiscalité… quand on cherche à faire des économies sur ce genre de mesures utiles au développement économique et impactant directement la création d’emplois, c’est qu’on est vraiment à la rue. Cette disposition de la loi de finance, si elle venait à être adoptée devrait permettre une économie fiscale d’une cinquantaine de millions d’euros pour l’Etat… mais à côté de ça…

Alors vous allez surement me dire que c’est un peu facile, mais je ne peux m’empêcher de mettre ce projet en perspective de la carte musique Jeunes dont des rumeurs font état d’un lancement pour le 28 octobre. Et là franchement, ça me fout en rogne : une perfusion de 75 millions d’euros pour les industries culturelles à l’heure où on parle de flinguer l’innovation et les jeunes entrepreneurs de mon pays… et bien j’ai honte. Pour un gouvernement qui se veut libéral c’est vraiment encore une mesure d’une autre planète.

Allez, cerise sur le gâteau histoire de bien vous énerver pour la semaine qui approche : en plein débat sur les retraites, quand on tombe là dessus, on se dit qu’on ne frise même plus le foutage de gueule, on est vraiment en plein dedans.

Allez on s’en remet un coup pour le plaisir …

Publié le

A force de vouloir écouter tout le monde, on risque de ne plus rien entendre

Echelon

De nombreux sites web ainsi que la presse se sont fait l’écho de récentes remontrances émanant des services secrets américains à la France. La loi HADOPI était en cause. Le spectre d’une menace d’écoutes généralisées pour faire la chasse à l’échange de fichiers soumis au droit d’auteur est en passe de devenir un problème de sécurité nationale. Et c’est pas comme si les USA n’avaient pas d’intérêt à défendre leur industrie culturelle. Pourquoi sommes nous pionniers de « l’Internet civilisé » ? Les américains sont ils moins civilisés que nous ? On peut se demander pourquoi les services de renseignement français n’ont pas cherché à tuer dans l’oeuf les velléités de contrôle des populations à la gloire du sacro-saint droit d’auteur.

Les USA se sont posés il y a bien longtemps la question : est il opportun de menacer de mettre sous écoute sa population ? Il faut bien comprendre que dans la logique américaine, il y a une longue tradition du renseignement. L’exemple le plus connu des réseaux de renseignement en grande partie mis en place par les USA se nomme Echelon, il s’agit d’un réseau d’écoute planétaire capable d’intercepter n’importe quel type de communication (téléphone, internet, fax…). Il fonctionne sur dictionnaire, une liste de mots clés fait réagir le système, le message est ensuite intercepté, puis analysé, de manière informatisée, puis par des moyens humain. La France aussi est dotée de son réseau d’interception, baptisé Frenchelon. Il existe cependant une différence notable entre les USA et la France sur la finalité de ces outils. Les USA concentrent leur effort sur le renseignement exterieur et apportent le plus grand soint à ne pas utiliser ces outils contre leur propre population. De notre côté, en France, on ne s’embarrasse pas vraiment avec de telles considérations et à écouter Marc Guez (président d’une association caritative dont l’objet est la préservation des revenus issus des phonogrammes en plastique et le sauvetage les artistes des méfaits d’Internet), c’est tout à fait naturel, c’est déjà en place, alors pourquoi pas l’utiliser pour servir ses intérêts à lui, quitte à s’exposer à des répercutions particulièrement dangereuses.

Je m’étais à une époque amusé avec Google Map à aller jeter un oeil sur les infrastructures américaines pour les comparer aux infrastructures françaises et j’avais constaté que les français étaient quand même bien plus pudiques que les américains sur la question, jugez par vous même :

Voici des installations d’Echelon à Menwith Hill vues du ciel, difficile de les rater, c’est tellement net qu’on pourrait presque lire les plaques d’immatriculation des voitures qui y sont stationnées.

Echelon, site de Menwith Hill

Voici maintenant des installations de la DGSE à Domme dans le Périgors et qui constituent une petite partie du réseau Frenchelon, les arbres sont eux parfaitement nets, en revanche, nos grandes oreilles, on tente gentiment de les cacher.

Installations d'écoutes de la DGSE

Si les deux sites précédents sont parfaitement connus, on trouve sur Google Maps d’autres endroits sur le globe qui laissent assez rêveur, comme ce petit coin paumé au milieu de nul part, Wales, en Alaska. On croit y distinguer un peu le même type de boules blanches… et quand on recule un peu, plus au nord, on voit une énorme piste d’atterrissage… et on se demande du coup quel type de fret peut desservir les 4 baraques de pêcheurs qui semblent border cette côte sauvage du grand nord américain.

Wales, Alaska

L’objectif de ce billet n’est pas vraiment de comparer les infrastructures de Frenchelon à celle d’Echelon, mais cette petite digression me semblait nécessaire afin de de vous montrer que des réseaux entiers destinés à intercepter les communications sont bien en place et qu’en plus c’est loin d’être nouveau.

Ce qui est relativement nouveau en revanche, c’est l’engouement des français pour l’anonymat sur Internet, je crois que des gens comme Cupuccino, Korben ou Fabrice vous le confirmeront à la lecture de leurs statistiques, de très nombreux internautes se documentent sur l’art et la manière de télécharger tranquillement, et pour ça, ils n’hésitent pas à se tourner vers des solutions de chiffrement plus ou moins élaborées. L’usage massif de ce ces solutions créent inéluctablement une forme de bruit par convolution qui pourraient vite s’avérer gênant pour les autorités habilitées à mener des écoutes pour des affaires autrement plus sérieuses que le téléchargement.

Toujours plus chiffré, toujours plus simple d’utilisation, les solutions se font à la fois plus grand public, plus qualitatives et font monter en compétences les internautes sur des problématiques dont ils n’avaient guère à se soucier il y a quelques mois. Est-ce souhaitable ? Surement pas. Il n’est jamais souhaitable qu’un concitoyen éprouve un besoin de se cacher pour pratiquer ce qui en plus de 10 ans est devenu un usage. Et je dois dire que je suis particulièrement surpris du silence du ministère de la Défense à ce sujet. J’ai beaucoup de mal à comprendre que l’armée n’ait pas alerté les pouvoirs publics sur le risque d’une démocratisation du chiffrement. Certes, la France compte parmi ses services des mathématiciens de talent capables de casser des algorithmes incroyables, ou des d’informaticiens doués, capables de se jouer de mauvaises implémentations de ces protocoles de chiffrement, mais dans le cadre d’une écoute « sur dictionnaire » (c’est de cette manière qu’opère un outil comme Echelon, je ne sais pas trop pour son pendant français), on se doute bien qu’il est plus compliqué et plus coûteux en terme de traitement de repérer une information intéressante sur un flux de données chiffrées de plusieurs dizaines ou centaines de milliers de personnes que quand on a traiter un flux de données chiffrées de quelques centaines d’individus.

Si la NSA ne se sent pas très à l’aise avec HADOPI, on se demande ce que peuvent en penser les communautés du renseignement français, je serai fort curieux d’entendre leur son de cloche là dessus, comme par exemple savoir s’ils ont été consultés avant la mise en oeuvre du dispositif HADOPI ou encore de ce qu’ils pensent d’une utilisation des technologies de reconnaissance de contenu (Deep Packet Inspection) pour faire la chasse aux téléchargeurs, alors que ces techniques leur étaient jusque là réservées… mais comme on l’a vu ci-dessus, nos services savent se faire discret.

Aujourd’hui ce qui m’inquiète le plus, c’est cette crise de confiance entre le gouvernement et ses administrés qui commence à devenir une tendance lourde : les internautes cherchent des moyens de se protéger… de l’Etat.

Comme le dit fort justement Benjamin Bayart, dans une démocratie, il est nécessaire que l’on puisse prendre le maquis, en revanche, quand on a 20% de la population qui souhaite le prendre, c’est qu’on a un sérieux problème.

Publié le

HADOPI : un reportage de M6 vraiment ridicule

Piratage sur M6
Piratage sur M6

Je viens de prendre un peu en cours 66 Minutes, le reportage de M6 traitait cette semaine du téléchargement illégal de manière plutôt partisane, et je vous assure que c’est un euphémisme. Chiffres sortis du chapeau, amalgames douteux, de la bonne vraie TV poubelle comme j’en avais pas mangé depuis un bail. Au registre des inepties on par exemple ce bon vieux cliché qui assimile un téléchargement à un vol, appuyé par une brève apparition de l’acteur Gérard Darmon. S’en vient ensuite un petit volet sur les premier envois de mails d’HADOPI et là M6 nous apprend que si 12 millions d’internautes savaient installer un client P2P et seeder l’intégrale des bisounours, seuls 3 millions savent « passer à travers les mailles du filet », c’est à dire faire clic clic sur un lien megaupload et taper 4 lettres qui composent le captcha… là on sent tout de suite l’enquête minutieuse.

Mais il y a encore plus gros, dans un immeuble proche des Champs Elysée nous précise le reporter, des personnes s’affairent à collecter des adresses IP et à les transmettre directement à un magistrat. Oui, vous n’hallucinez pas, l’image nous montre à l’écran 5 gus dans un garage hausmanien sous Windows (c’est limite si on ne les voit pas écrire les adresses ip sur un post-it…). Des agents assermentés ? Même pas ! Ou même plus… des anciens policiers nous précise t-on. On est bien dans le domaine de la petite milice privée qui relève des données pseudo personnelles et surtout franchement pas fiables pour les transmettre au procureur.

Soit M6 a raconté de splendides bêtises, soit il se passe des choses franchement peu  avouables chez les ayants droits qui mandatent n’importe qui pour faire n’importe quoi… En tout cas bravo à M6 pour ce scoop, ça va nous donner matière à creuser un peu les moyens d’investigations de ces officines privées, on sait maintenant que TMG n’est pas la seule sur ce coup, on sait également que les gens qui opèrent sont parfaitement illégitimes dans ce qui devrai relever d’une l’enquête judiciaire, et on apprend enfin que les preuves collectées sont de haut niveau avant d’être transmises au procureur…

M6 m’a TUER !

Edit : L’émission de M6 est maintenant sur M6 Replay (flash)

Publié le

Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ?

Anonymat sur le Net
Anonymat sur le Net

L’anonymat sur le Net est quelque chose de bien trop sérieux pour laisser une place au hasard. Dans certain pays, il est le garant de la liberté de certaines personnes (journalistes, opposants politiques…), pour certaines personnes, une erreur et leur vie peut être mise en danger. Dans le premier billet de cette petite série, nous avons fait la différence entre la protection du contenu et du contexte. Nous avons vu que la protection des contenus passait par le chiffrement des données et que la protection du contexte, bien plus complexe, nécessitait un ensemble de mesures adaptées à des problématiques variées et qu’il existait une forte interdépendance entre ces mesures. Ce que l’on souhaite quand on parle d’anonymat, c’est bien évidemment une solution capable de protéger tant le contenu que le contexte.
Nous allons nous pencher maintenant sur quelques solutions d’’anonymat communément utilisées et tenter de comprendre ce qu’elles protègent exactement.

  • Utiliser le wifi du voisin : sachez dans un premier temps que ceci est parfaitement illégal, à moins que vous n’ayez expressément été invité à le faire. Sinon ça porte un nom : intrusion et maintien dans un système de traitement automatisé de données, auquel la LOPPSI devrait même venir ajouter une usurpation d’identité, et ça coûte relativement cher, à savoir de deux ans d’emprisonnement et de 30000 euros d’amende (Loi Godfrain amendée par la Loi dans la Confiance en l’Economie Numérique dont le petit nom est LCEN), et 3 ans et 45000 euros d’amende en cas de modification ou destruction de données. Dans le cas de l’utilisation de la connexion wifi d’un tiers, l’anonymat est loin d’être garanti. L’administrateur du réseau local peut très bien intercepter vos données directement sur son LAN et ce type d’intrusion est facilement détectable (tien une ip en plus sur le réseau)… Si en plus vous faites tout passer en clair, vous avez intérêt à faire extrêmement confiance en la bienveillance ou l’ignorance de votre victime… au fait vous êtes bien sur que le réseau wifi utilisé n’est pas tout simplement un honeypot uniquement destiné à intercepter vos données personnelles ? Bref vous l’aurez compris, cette solution n’en est pas une, en outre elle protège une partie du contexte, mais surement pas le contenu.
  • Les serveurs proxy : un serveur proxy permet de masquer son IP pour une utilisation donnée correspondant au port utilisé par une communication. On trouve aisément des proxy pour les usages les plus fréquents (navigation web, transferts de fichiers…). Les proxy ne sont pas une solution satisfaisante pour l’anonymat, il ne protègent qu’une toute petite partie du contexte. Il est impératif d’utiliser SSL pour protéger le contenu de la communication et la protection du contexte peut également être améliorée en utilisant plusieurs proxy en chaîne (proxy chain). Attention, la contrepartie, c’est que chaque proxy est également un maillon faible puisqu’il peut loguer les connexions. Les proxy sont cependant un terme très générique et il convient de porter son choix sur les proxy anonymes qui ne loguent pas les communications et ne révèlent pas votre adresse ip à tous vents (attention, toujours dans le cadre d’une communication sur un port donné). On distinguera également les proxy SOCKS et CGI (généralement une page web avec une barre d’adresse dans laquelle on place l’url que l’on souhaite visiter discrètement), d’une manière générale les proxy SOCKS sont plus difficilement identifiables par le site cible que les CGI. Attention enfin aux proxy open socks, il s’agit en fait souvent de machines compromises par des hackers qui peuvent prendre un malin plaisir à intercepter vos données. Les proxy payants peuvent donc êtres considérés comme plus fiables. Les proxy ne gèrent pas correctement la protection du contexte, la protection du contenue, si elle est assurée par SSL peut également être faillible par Man in the Middle.
  • Le chaînage de proxy : une méthode également assez répandue mais qui a pour effet de ralentir les surfs, est de passer par plusieurs serveurs proxy. Là encore ce n’est pas parce qu’on utilise 3 ou 4 proxy de suite que l’on peut se considérer comme réellement anonyme. Ces proxy doivent être anonymes, ne pas loguer les connexions et ceci ne dispense absolument pas de chiffrer les contenus, l’utilisation de SSL n’est pas une option, mais là encore, certains vous diront à raison que SSL c’est bien … mais… Les protocoles plus exotiques apporteront donc une sécurité accrue mais seront évidemment plus difficiles à mettre en place ou à utiliser. C’est ce genre de solution, couplé à des règles drastiques sur les noeuds qui composent son réseau, que repose la solution JonDonym (JAP) : géographiquement distribués, préalablement audité, opérateurs de noeuds conventionnés, JonDonym est une solution de proxychain assez évoluée qui tend à protéger le contexte de manière quasi satisfaisante pour peu que l’utilisateur observe quelques bonnes pratiques complémentaires (comme utiliser pour surfer une machine virtuelle sous OpenBSD avec une redirection du serveur X sur SSH, la désactivation ds cookies ou de toutes les extensions de navigateur dangereuses dont nous allons parler un peu plus loin…).  Attention cependant JonDonym se traîne une réputation sulfureuse, et des rumeurs de backdoors ont couru. La police allemande se serait intéressée de près à ce réseau.
  • Les VPN : Un VPN est un réseau privé virtuel. On le dit virtuel car il n’y a pas de ligne physique dédiées qui relie les nœuds. On le dit également privé parce qu’il utilise le chiffrement. Les VPN utilisent un chiffrement fort entre les nœuds pour accentuer la protection du contenu (on ne se contente pas de faire confiance aux noeuds). Une des principales différences entre un proxy et un VPN est que le proxy opère sur la couche applicative du modèle OSI, alors que le VPN opère sur la couche réseau. Le VPN est donc naturellement plus résistant à des fuites d’adresses IP. En clair, un proxy anonymise une application (un client mail, un navigateur…), un VPN, lui, tend à anonymiser le trafic d’un OS, c’est à dire l’ensemble de ses applications en opérant sur la couche réseau permettant à ces applications de communiquer. Usuellement les services VPN utilisent des noeuds dans des juridictions offshore mais ceci ne suffit pas. En outre, les vertus anonymisantes des VPN ont largement été survendues, d’ailleurs, il n’est pas rare que certains (mêmes gros) acteurs qui prétendent ne pas loguer les connexion, en pratique, les loguent. Autant vous le dire tout de suite, les providers américains loguent, ils en ont la quasi obligation(Patriot Act).
  • Tor : Tor est une solution d’anonymat basée sur le concept d’onion routing (routage en oignon), il implique un chiffrement des données préalable qui, passant de noeud en noeud se voit cryptographiquement dénudé d’une couche, d’où son nom. Le concept d’onion routing a initialement été développé par l’US Navy et Tor est son implémentation la plus connue. Tor est un réseau semi-centralisé qui se compose d’un programme et d’un réseau d’environ 200 noeuds. Un utilisateur peut utiliser le réseau passivement ou choisir de relayer le trafic d’autres utilisateurs. Les communications passent par trois noeuds avant d’atteindre un noeud de sortie. Les routes des noeuds sont chiffrées, ainsi que le contenu. Chaque nœud enlève une couche de chiffrement avant de transmettre les communications. Contrairement à SSL, Tor est connu pour être résistant à des attaques par Man in the Middle en raison d’un chiffrement sur 80 bits (pas énorme mais suffisant) de l’authentification post communication. Nous reviendront dans le prochain billet sur Tor, ses vulnérabilités, ainsi que sur Freenet et I2P. Nous verront pour ces solutions que le contexte est faillible.
Les maillons faibles

Ce qui va suivre est loin d’être exhaustif, ces quelques éléments ne sont là que pour vous guider un peu mieux sur les bonnes solutions et les bonnes pratiques, en fonction du niveau de protection de vos données personnelles recherché. Il y a dont une bonne et une mauvaise nouvelle (nous creuserons plus tard la mauvaise). On commence par la mauvaise la quasi intégralité des solutions sont plus ou moins vulnérables aux éléments de protection de contexte ci-dessous. La bonne est que ce n’est pas innéluctable et que vous connaissez très bien votre pire ennemi, c’est à dire vous même.

  1. Les plugins de navigateurs bavards : Le premier maillon faible, c’est votre navigateur web et d’une manière générale toutes les applications qui se connectent à l’internet. Si sur la route, les protocoles de chiffrement peuvent vous protéger, vous n’êtres pas du tout à abri d’un plugin de navigateur trop bavard. Au hit parade de ces extensions, Acrobat Reader, Windows Media, QuickTime, et Flash.
  2. Les réseaux trop sociaux et les identifications un peu trop fédératrices : L’identification sur un site web, particulièrement quand il s’agit d’un super réseau social tout de javascript vêtu avec de supers API faites dans le but louable de rapprocher des personnes qui ne se connaissent pas et exportables sous forme de widgets sur des sites web tiers… toutes ressemblance avec un certain Facebook est purement pas du tout fortuite… est un danger énorme pour vos données personnelles. Il est même particulièrement simple de révéler votre véritable adresse IP en exploitant l’API du dit réseau social. La règle de base est donc de ne jamais s’identifier sur plus d’un site à la fois… finit les 57 onglets dans votre fenêtre de navigateur si vous voulez la paix, il faut être avant tout méthodique : une machine virtuelle = une authentification sur le Net. Au dessus, vous vous exposez de fait à un vol de session.
  3. Les mauvaises implémentations logicielles : Un mécanisme de sécurité, comme un algorithme de chiffrement, peut être compromis, ou plutôt contourné, suite à une mauvaise implémentation. Là encore c’est dramatiquement banal, on a par exemple tous encore tête la réintroduction d’une faiblesse d’implémentation du mécanisme de génération des clef WPA des BBox, les box du fournisseur d’accès Internet Bouygues. Attention, les mauvaises pratiques de développement ne touchent pas que des clients lourds, elles touchent aussi des sites web… oui même des gros sites très célèbres… surtout des gros sites très célèbres. Ainsi, un XSS bien placé et c’est le vol de session. Un simple cookie est susceptible de dévoiler votre véritable identité. Dans le monde de la sécurité les cookies ont deux fonctions : être mangés ou être supprimés (non acceptés c’est encore mieux).
  4. L’interface chaise / clavier : Si vous ne voyez pas de quoi je parle, il s’agit tout simplement de l’utilisateur lui même. Le vrai problème est qu’aujourd’hui, non seulement tout est fait dans les systèmes d’exploitation moderne pour vous masquer le plus posssible les couches complexes (combien de personnes ici savent comment fonctionnent une pile TCP/IP), mais tout ces marchands de sécurité, FAI en tête exploitent votre méconnaissance du réseau et s’en font un business particulièrement lucratif. Avec HADOPI, tout ce petit monde a une occasion rêvé pour vous vendre des solutions tantôt de sécurisation, tantôt de contournement. Le résultat est le même et la démarche est toute aussi sujette à réflexion.
  5. Le contenu cible : En fonction de votre solution d’anonymat, les sites que vous visitez peuvent eux aussi représenter une menace, il n’est pas rare que certains sites, eux mêmes victimes de failles distribuent du malware et compromettent la sécurité des données personnelles de leur visiteurs. D’autres encore, spécialement destinés à piéger les visiteurs, n’hésiteront par exemple pas à doter un formulaire de contact ou d’inscription d’une fonction de keylogin (une pratique pas courante mais existante sur certains sites de warez et destinée à dépouiller les visiteurs qui auraient la mauvaise idée d’utiliser pour ces sites les mêmes mots de passe qu’ils utilisent pour leur compte Paypal ou leur messagerie).

Dans le troisième et prochain billet de cette série, nous aborderons plus en détail les attaques possibles sur les solutions d’anonymat. Le billet sera donc un peu plus technique que celui-ci.

Publié le

De ces voleurs qui tuent les artistes

Marc Guez

Quand on entend Nicolas Sarkozy qui entend « sauver la création », on se dit qu’elle est en très grand danger. Il faut avouer que pour la musique, ce n’est pas tout à fait faux. Si l’industrie du disque n’est pas aussi moribonde qu’on aimerait nous le faire croire, les artistes, eux s’apauvrissent bel et bien avec la dématérialisation des supports.

Voici la répartition moyenne d’un titre vendu pour 0,99€ :

  • 0,61 € pour la maison de disques
  • 0,19 € de TVA
  • 0,07 € reviennent à la Sacem
  • 0,06 € pour le distributeur (le site Web)
  • 0,03 € de frais divers à répartir entre services de Télécommunications, licence technique de gestion et frais bancaires
  • 0,03 € pour l’artiste

On peut effectivement fustiger les internautes, mais à la lecture de ces chiffres, j’ai un peu de mal à définir les internautes comme la cause réelle d’une menace pour les créateurs. En outre si la carte musique jeune promise par Nicolas Sarkozy venait à voir le jour, vous savez maintenant où passera l’argent public… une scandaleuse perfusion, ni plus, ni moins.

On peut donc continuer à policer l’internet comme l’appelle Marc Guez en utilisant des technologies de reconnaissance de contenus, mais il est évident que même ça… et bien ça ne permettra pas aux artistes de vivre mieux. 1 euro le titre, pour un fichier numérique, c’est aussi cher qu’un titre matérialisé sur un support. La seule différence, c’est bien la répartition. La où un artiste touche entre 1,2 et 2 euros par album, il vois ses revenus en valeur fondre de manière spectaculaire sur des fichiers numériques alors que les frais de distributions sont quasi inexistants. Les maisons de disques se taillent la part du lion.

En dehors du fait que j’ai sincèrement l’impression que les maisons de disques prennent les artistes pour des cons, c’est surtout l’intervention de Marc Guez dans l’émission Revu et Corrigé qui motive l’écriture de ce billet. Manque de chance pour lui, il s’est retrouvé face à Fabrice Epelboin, du coup il n’en ramène pas lourd avec une argumentation qui frise le ridicule… comme au moment où il nous ressort sa liste de 53 artistes en faveur d’HADOPI.

Vers la 56e minutes Marc Guez expose encore une fois un plaidoyer en faveur du Deep Packet Inspection en commettant deux trois erreurs factuelles. Le monsieur semble assez persuadé que le Deep Packet Inspection, ou l’écoute généralisée des communications destinée à filtrer les échanges de fichiers « illégaux » sur le Net, est bien la solution aux maux de l’industrie du disque… ce qui est assez gonflé quand on on découvre les chiffres que vous venez de lire.  Marc Guez conclu enfin sur un calcul savant où il nous expliquer qu’il perd de l’argent en valeur… comme le montre une fois de plus les chiffre ci-dessus. Je sens qu’on va reparler de la SCPP très prochainement.

  • Visionner la vidéo (à partir de la 48e minute) / Format Silverlight
  • Pour les linuxiens, la voici dans un format encore plus pourri (wmv) mais qui fonctionne une fois les codecs installés
Publié le

HADOPI : Glasnost sur le Deep Packet Inspection ?

La Haute Autorité a daigné répondre à mes interrogations sur la Deep Packet Inpection, vous trouverez les questions ici, et la réponse de l’HADOPI , . J’ai lu très attentivement cette réponse et j’y vois deux trois choses intéressantes :

Dans un premier temps, le fait que l’HADOPI, par le biais d’une réponse officielle, fasse un premier pas pour tenter de lever des inquiétudes, montre à quel point cette question du Deep Packet Inspection est centrale et inquiète… tant nous, internautes, que l’HADOPI, qui doit quand même se rendre compte que l’on ne peut pas accepter tout et n’importe quoi en matière de sécurisation, particulièrement quand il s’agit de jouer avec des outils, qui détournés de leur usage initial, peuvent aboutir à des situations non désirées de tous, et dans l’intérêt de quelques croisés du droit d’auteur.

Maintenant concernant le terme de « fantasme » Marc, sur PCInpact a très bien résumé ce faisceau de présomptions particulièrement fondé et étayé par des faits qui nous incitent à penser que le DPI est bien considéré comme une solution qu’il faut « évaluer », le président de la République en tête. Peut-on donc réellement parler de fantasme, surtout quand on lit un peu partout que le déploiement du DPI à grande échelle coûterait des centaines de millions et que l’on sait que ceci est parfaitement faux. Les déploiements d’équipements en coeur de réseau, proche des backbones, coûteraient au plus quelques millions. Un routeur de service vide coute dans les 80 000 euros, une fois gavé de modules dédiés au DPI on arrive à un chiffre de 200 000 euros pour traiter du terabit. Ce qui est donc de l’ordre du fantasme, c’est dire que c’est impossible parce que ceci coûte cher… le DPI est tout à fait à la portée de la bourse des 7 principaux fournisseurs d’accès.

D’un fantasme à l’autre, il n’y a qu’un pas

Vous m’avez peut être, à la lecture de certains billet, vu parler à demi mot d’expérimentations menées par les FAI dans le domaine de la reconnaissance de contenus. Et bien je vais me permettre d’être encore plus clair : OUI, certains fournisseurs d’accès l’expérimentent, c’est une évidence. Il est également de notoriété publique que ces technologies sont déjà en place sur les réseaux mobiles des opérateurs téléphoniques. Ils y ont un intérêt flagrant, il est d’ordre économique et le DPI peut vite devenir très rentable pour eux. Je m’explique…

En condamnant le P2P qui favorisait des échanges principalement nationaux, où la bande passante n’était pas facturable par un tiers, et qui avait le bon goût d’équilibrer les charges en utilisant un lien fibre dans un sens comme dans l’autre, HADOPI a pour principale conséquence une migration massive des utilisateurs vers des solutions de direct download (Rapidshare, Megaupload….). Ces solutions font un usage de la bande passante à sens unique, les serveurs sont souvent situés outre-atlantique, aux USA. Les autres gros hébergeurs se trouvent aux Pays-Bas, en Russie… Tous les fournisseurs d’accès vous confirmeront cet accroissement de trafic transnational à sens unique et donc une hausse des coûts de transit. Les solutions de reconnaissance de contenu deviennent alors intéressantes pour un FAI un peu zélé qui souhaiterait faire la chasse aux téléchargements de fichiers lourds, avec pour argument, que comme il s’agit dans 99% des cas de fichiers illégaux, il est dans son bon droit… et puis c’est dans l’air du temps et c’est bien ce que promettent les équipementiers aux FAI : faire plein d’économies en se débarrassant d’un trafic indésirable. Mais comment un FAI va reconnaître un Divx légal (encodé par mes soins depuis un original légalement acquis) que je fais transiter par le réseau depuis mon média center de mon lieu de résidence, à mon laptop, sur mon lieu de vacances ?

La HADOPI veut se donner les moyens de la transparence

Je ne reviendrai pas sur la joute sémantique tester/évaluer/expérimenter et je vais tenter de me concentrer sur ce qui me semble le plus intéressant dans cette réponse. L’HADOPI, affirme que les expériences menées par les fournisseurs d’accès ne présenteront à ses yeux aucun intérêt et ne leur prêtera aucune crédibilité si par l’intermédiaire de ses labs, elle ne peut exercer un contrôle sur la méthodologie, le contexte et le périmètre de ces expérimentations. Maintenant que la loi est là, et tant qu’elle ne sera pas abrogée, c’est à l’HADOPI qu’incombe la mission d’évaluer ces solutions de filtrage et elle rappelle que ceci devra se faire dans la transparence la plus totale :  les évaluations doivent être présentées au législateur et au public dans le rapport d’activité de la Haute Autorité.

Soyons clair, je ne dis pas que ça me tranquillise, ni qu’au fond de moi j’estime l’HADOPI légitime dans une mission d’évaluation d’une solution de flicage globale, mais le cadre légal indique qu’au moins les résultats seront publics. Une chose apparaît claire en tout cas, c’est que l’HADOPI évaluera bien le DPI, et c’est au sein de ses Labs que ceci devrait se passer. Mon sentiment là dessus est qu’évaluer ce genre de solutions dans le but de filtrer des contenus soumis à droit d’auteur reste une dérive dangereuse et contre nature. Envisager quer l’on puisse utiliser le DPI pour servir la croisade du droit d’auteur me fait froid dans le dos et ne laisse rien augurer de bon. L’autre effet perver sera bien évidemment le chiffrement lourd des communications des abonnés, la crise de confiance serait sans précédent.

Allez encore un petit effort

Si l’HADOPI a un réel pouvoir de décision sur cette épineuse question, il est impératif qu’elle rejette toute utilisation de filtrage par reconnaissance des contenus. De tels dispositifs ne doivent pas avoir leur place dans une démocratie, le risque de détournement est bien trop important, il est inéluctable. Offrir le Deep Packet Inspection, même sur abonnement pour contourner quelques détails légaux comme le viol de la vie privée des concitoyens reste inacceptable, j’ose espéré que la sagesse prévaudra sur la pression des ministère de l’Industrie, de la Culture, des ayants droits et d’une poignée de politiques qui ne prennent pas la (dé)mesure des outils qu’ils souhaitent mettre en place, alors que les effets du piratage sur l’économie des biens culturels  sont loins d’être aussi négatifs qu’ils n’aiment à le faire croire… un autre point sur lequel les labs devraient tenter de porter leur attention en produisant des études que l’on souhaite indépendantes, elles aussi.

Pour conclure, si la Haute Autorité fait preuve de l’indépendance qu’elle souhaite affirmer dans sa réponse (un acte que je salue au passage), nous devrions arriver à des choses intéressantes un jour ou l’autre et je confesse que j’apprécie ce premier pas même si l’objet reste à mes yeux inacceptable : le DPI n’a pas sa place dans une démocratie digne de ce nom. Enfin l’évaluation des technologies de reconnaissance de contenus sont un aveu d’échec assez flagrant sur les solutions techniques de « sécurisation » des accès Internet… mais là dessus, je ne m’attendais pas spécialement à des miracles.

Je resterai donc particulièrement attentif sur ce sujet et j’entends que les quelques fournisseurs d’accès qui expérimentent dans leur coin ces solutions sortent du bois rapidement, et surtout que le législateur prenne ses responsabilités pour encadrer l’usage des ces technologies dont l’objet est de servir le bon fonctionnement d’un réseau, mais surement pas d’opérer un flicage sur la population.

Publié le

Alain Suguenot soutient Free… il a tout compris

Alain Suguenot
Alain Suguenot

Dans La voix est Libre une émission de France 3 Bourgogne, Alain Suguenot, député UMP et maire de Beaune apporte ouvertement son soutien au fournisseur d’accès Free qui avait refusé d’envoyer les emails de recommandation de l’HADOPI. Le député en profite pour dézinguer HADOPI, trappelant par exemple que cette loi aura eu la peau de deux ministres.

Le député Suguenot rappelle que Free a pris une décision courageuse en prenant position contre une loi liberticide… le mot est lâché. Le constat est là, les carences démocratiques pendant les débats d’HADOPI 1 et 2 laissent des traces et le député le rappelle : « Aujourd’hui, la loi pose des difficultés que l’on avait évoqué« . Puis quand le journaliste demande au député s’il n’est pas un peu esseulé au sein de sa majorité, le député répond « je suis celui qui parle« … Il apparait clair que si HADOPI devait repasser aujourd’hui devant le parlement, il y a de fortes chances que si par miracle elle était adoptée, elle ne ressemblerait pas à ce que nous connaissons aujourd’hui… la pédagogie à ses limites et de nombreux députés commencent à se rendre compte qu’on ne peut manier la trique sans carotte (une offre légale digne de ce nom).

Au coeur de l’argumentaire d’Alain Suguenot, l’offre légale inexistante et le problème de la sécurisation de la connexion de l’abonné qui ne trouvera probablement jamais de solution technique satisfaisante.

Merci à Niko pour l’url de la vidéo 😉

Publié le

Wifi Robin est maintenant disponible en France

wifirobin
Wifi Robin disponible en France

Il y a quelques temps, je vous avais parlé de Wifi Robin, un petit boiter magique qui envoi des lutins dans les airs pour capturer des trames et automatiser des attaques sur le protocole de chiffrement sans fil WEP qui comme chacun le sait n’est pas HADOPIProof. Et bien maintenant ça y est, Wifi Robin est disponible à la vente en France, chez Greezbee, pour 139 euros. C’est par ici que ça se passe (et non je n’ai pas d’actions). Tout comme les cartes Alfa (dont je soupçonne être le coeur de la bête, avec son chipset Realtek RTL8187L), ça patate quand même à 1w soit 10 fois la puissance autorisée en France… elle est donc bridée mais facilement débridable, il faut juste prendre soin de ne pas dormir à côté.

Si comme moi vous n’avez pas 139 euros à mettre dans ce gadget mais que la bidouille vous amuse et que vous avez une ou deux foneras qui trainent à la maison, allez donc jeter un oeil sur HostileWRT, un projet du /tmp/lab dont vous trouverez les slide de présentation au Hack.lu ici.

Il va de soi que vous ne jouerez avec que sur votre réseau local et que vous n’utiliserez pas la connexion de votre voisin pour seeder comme un puerco.

Merci à Abysce pour l’info 😉

tmplab HostileWRT 5

Publié le

DPI : une réponse officielle de l’HADOPI

J’ai reçu ce soir une réponse de la haute autorité concernant ce billet sur le Deep Packet Inspection, dans lequel je vous faisais part des inquiétudes que je partage avec de nombreux internautes. Il s’agit donc d’une réponse officielle de l’HADOPI, et elle est relativement… surprenante. Pour ne pas mélanger les genres, je ne la commenterai pas dans ce billet.

Je vous laisse découvrir cette réponse :

De très nombreux fantasmes circulent sur d’hypothétiques tests par l’Hadopi des technologies de deep packet inspection (DPI) dans le cadre de la mission confiée à la Haute Autorité par le législateur. Ils nourrissent une inquiétude certaine auprès d’internautes. Une clarification s’impose. Les questions posées dans ce billet la permettent.

1-     L’affirmation selon laquelle « Hadopi prévoit dans son dispositif des tests sur les technologies de deep packet inspection » est fausse. Il n’entre pas dans la mission légale de l’Hadopi d’effectuer de tels tests qui sont, donc, totalement exclus.

2-     La loi confie à la Haute Autorité la mission d’évaluer « les expérimentations conduites dans le domaine des technologies de reconnaissance des contenus et de filtrage par les concepteurs de ces technologies, les titulaires de droits sur les œuvres et objets protégés et les personnes dont l’activité est d’offrir un service de communication au public en ligne ».

3-     Si de telles expérimentations étaient conduites par l’une ou l’autre des personnes mentionnées ci-dessus, elles devraient donc naturellement être portées à la connaissance de la Haute Autorité au plus tôt pour que celle-ci soit à en mesure de remplir de façon éclairée la mission que lui a confié le législateur, et ce d’autant que ces évaluations doivent être présentées au législateur et au public dans le rapport d’activité de la Haute Autorité.

4-     A ce jour, aucune expérimentation n’a été portée à sa connaissance. Si des résultats venaient à lui être présentés sans qu’elle n’ait eu la possibilité de connaître le lancement de telles expérimentations et d’en suivre le déroulement en toute transparence et dans la forme et avec les partenaires qu’elle déciderait, la Haute Autorité émettrait naturellement de fortes réserves sur la méthode même de l’expérimentation conduite et les résultats présentés.

5-     Bien que le protocole d’évaluation ne soit pas encore déterminé, la Haute Autorité rappelle qu’elle a d’emblée indiqué que celle-ci se conduirait dans le cadre du « Lab » réseaux et techniques qu’elle s’apprête à ouvrir, que la totalité du travail des « Labs » serait conduite dans la plus totale transparence, et que tous les documents portés sur la table des « Labs » serait publiquement accessibles à tous. Il s’agit là d’un engagement ferme et largement rendu public.

La Haute Autorité réaffirme l’impérative nécessité de protéger sur internet les droits des œuvres et de tous ceux qui contribuent à leur création. Pas plus que l’absence d’offre répondant à la totalité des attentes ne justifie le pillage, la protection des œuvres ne justifie pas l’usage de technologies disproportionnées.