Articles

Publié le

HADOPI : tu sécurises ou tu fliques ?

Au détour d’un commentaire lu sur Numérama en référence à l’amalgame volontairement fait dans ce billet entre la « sécurisation d’une connexion Internet » et la « sécurisation d’un site web », j’ai pu me rendre compte de l’efficacité de la propagande menées par le Ministère de la Culture… ils ont réussi à mettre un sacré bazar dans nos cerveaux. Je me suis donc essayé à un petit exemple fictif pour illustrer un fait : le dispositif prévu dans le texte de loi n’est pas fait pour sécuriser, mais bien pour fliquer.

Je vais donc reprendre ici cet exemple, une fiction pour le moment mais je suis prêt à vous parier que si le texte était en l’état appliqué au pied de la lettre, la réalité pourrait même dépasser la fiction. C’est l’une des raisons pour lesquelles j’expliquais l’année dernière sur TechToc.tv que nous avions déjà gagné et qu’HADOPI telle que nous la connaissons ne sera probablement jamais appliquée car comme le dit l’adage : à l’impossible nul n’est tenu. Et l’impossible, c’est justement sécuriser une connexion Internet, ce qu’on essaye de nous faire passer pour une obligation légale. Maître Capello ? Pas mieux que trois lettres ? L.O.L.

Voici le commentaire qui a motivé ma réponse :

« C’est quoi le rapport entre la non-sécurisation de sites Internet et la sécurisation de la ligne d’un abonné à Internet pour empêcher les téléchargements illégaux ?
Ah oui, il y a le mot « sécurisation » dans les deux parties de la phrase. Donc de manière simpliste, on fait un raccourci : du moment qu’ils ne sécurisent pas leurs sites, alors ils ne peuvent pas nous demander de sécuriser nos lignes. Alors que les techniques, les moyens et les enjeux n’ont strictement rien à voir.
Bien évidemment qu’une base SQL non protégée sur un site gouvernemental, ce n’est pas très sérieux. Mais quel est le rapport avec Hadopi et ses dispositions législatives ? Ce n’est pas parce qu’ils sont en faute que cela vous dédouanne d’appliquer la loi ! »

Notez que ce n’est pas le seul de ce cru, j’ai même pu en lire sur Read Write Web ou d’autres sites, ce qui justifie à mon sens une explication dont le but sera de dépoussiérer quelques notions et faire un peu le ménage dans les idées stupides que notre bon législateur a tenté de vous mettre dans le crâne (et il y est dans de nombreux cas parvenu).

Les faits

  • La loi Création et Internet mentionne une contravention pour non sécurisation d’une connexion Internet, sans pour autant définir le périmètre précis (essayez vous au Quizz, vous allez vite comprendre que juridiquement nous sommes là en face d’un concept particulièrement fumeux).
  • Pour que les données d’un serveur web soient accessibles il faut ? … une connexion Internet.
  • Pour qu’une machine se fasse compromettre, généralement, sur le Net, il faut … une connexion Internet et une vulnérabilité exploitable à distance (allant de l’utilisateur lui même qui ira cliquer sur un « i love you.exe jusqu’à une faille kernel… et entre ces deux extrêmes… il n’y a pas de limites.
  • C’est justement parce qu’entre ces deux extrêmes les limites n’existent pas, qu’AUCUNE solution logicielle de sécurisation au monde ne protègera jamais les utilisateurs de l’intégralité des risques liés à la nature du réseau… et à la nature du cerveau humain. Affirmer le contraire serait une bêtise.

La fiction

Une entreprise x dispose d’un extranet, son robots.txt indique un répertoire sensé être protégé qui ne l’est pas (au pif avec un beau .sh qui affiche en clair le mot de passe de la base de données Oracle du dit extranet). Un pirate y accède et pénètre l’extranet de l’entreprise, par escalation de privilèges ou en dumpant la base de données, il en prend le contôle de tout le réseau local de l’entreprise. Pour ce faire, rien de plus simple, avec un petit coup de dsniff, il s’empare de tous les mails du serveur de mail Exchange (assez pratique pour se faire renvoyer les passwords non ?), il a tous les mots de passe, tous les accès… voici un scénario malheureusement dramatiquement réaliste d’une compromission.

Puis, il se trouve que l’entreprise en question a une super bande pasante, du 100megas symétriques. Le pirate decide donc de se servir du NAS pour se faire sa médiathèque en ligne qu’il consulte en streaming via un flux chiffré sur un port non standard. Pour télécharger, il s’installe un client torrent en mode console, bien planqué là ou personne ne va jamais fouiller … dans le /opt par exemple.
La HADOPI envoie un mail que l’entreprise ne reçoit pas car elle ne le lit jamais, d’ailleurs, dans l’entreprise, personne ne sait si ce mail existe (le mail d’inscription utilisé pour ouvrir la connexion Internet chez le fournisseur d’accès).

A la réception du courrier recommandé (l’étape 2 de la procédure super pédagogique prévue par le texte), l’entreprise débusque le pirate sur son réseau mais n’a pas compris par ou il est arrivé. Elle supprime donc l’utilisateur ou change le mot de passe du compte utilisé par le pirate. Mais, souvenez vous, comme le pirate a dumpé la base de données et qu’il a récupéré des centaines de mots de passe en sniffant le réseau local de l’entreprise… et que l’entreprise n’a pas changé TOUS les passwords, notre pirate, pas décidé à abandonner sa connexion très haut débit depuis le fin fond de la Lozère, revient… puis un jour, après plusieurs incursions, un recommandé, et 3 audits internes (il faut pas que ça s’ébruite ce genre de choses vous comprenez, ça affolerait les clients de notre entreprise), l’entreprise se retrouve déconnectée du net.

Même l’Hadopipohardware, le Firewall Zyxel, acheté par l’entreprise et qui promettait une protection idéale contre HADOPI en filtrant les applications de peer to peer n’a rien vu venir.

Tout le système d’information de l’entreprise est donc rendu inaccessible depuis l’extérieur et ses salariés sans connexion dans les locaux se retrouvent au chômage technique.

Comme une circulaire de la chancellerie indique que tout cas un peu compliqué ne devra surtout pas être envoyé devant un tribunal… et que même si c’était possible la connexion est déjà coupée.. et que l’entreprise n’a pas le droit de souscrire à une autre offre… l’entreprise ferme ses portes et fait faillite incapable d’honorer une communication basique avec ses clients. Il reste le télétravail et peut être aller faire les rendez-vous clients au Mc Donald du coin.

Que nous apprend cette petite histoire ?

Il s’agit d’un constat évident, que malheureusement trop peu de personnes semblent avoir assimilé :

  • La sécurité ce n’est pas un produit mais ensemble de processus
  • HADOPI propose l’élaboration de solutions de « sécurité » dont la fonction n’est pas de prévenir de risques d’intrusion externes mais bien de fliquer des usages internes… ce qui inéluctablement conduit à un risque sécuritaire, c’est à dire, tout le contraire de ce qu’on tente de vous vendre.

Pour vous faire passer des vessies pour des lanternes, notez qu’il aura fallu :

  • 577 gus dans un hémicycle (en théorie), beaucoup moins en pratique
  • 2 HADOPI
  • un recallage au Conseil Constitutionnel
  • un site web de propagande à 80 000 euros pour 1 mois d’uptime (jaimelesartistes.fr)
  • la machine à spam la plus chère du monde…

… j’ai donc encore beaucoup de route à parcourir pour expliquer ça à qui veut l’entendre, je n’ai pas les mêmes moyens que ceux déployés par l’Etat, mais aidé par quelques gus, nous devenons tous des créateurs de possible… non ?

Publié le

Open World Forum 2010 (du 30 septembre au 1er octobre)

open world forumParmi les manifestations où je ne me fais généralement pas prier pour venir, il y a l’Open World Forum. Cette année, comme pour les deux éditions précédentes, vous pourrez donc m’y retrouver, aux côtés des ours de Bearstech qui participeront d’ailleurs activement à des cycles de conférences avec de nombreux intervenants internationaux. Je serais également ravis d’y retrouver plein de gens que j’aime bien comme Pilot Systems, eNovance, Altic, Nuxeo, Smile, tous les copains de Ploss… et de très nombreux professionnels de l’Open Source.

Cette année, l’Open World Forum, c’est 3 jours de conférences et d’ateliers sur des sujets très variés, en rapport avec l’Open Source. 2010 est un cru qui donnera la part belle aux contenus ouverts, par exemple avec cette conférence sur les medias ouverts et cet atelier sur les médias vidéos ouverts. Cloud computing, gestion de contenu, business intelligence…. la planète open source s’enrichie d’années en années, elle s’invite dans tous les systèmes d’information et ne libère plus que des logiciels. Vous pouvez trouver le programme complet ici.

Open World Forum (du 30 septembre au 1er octobre) :

Publié le

Le scandale des sites gouvernementaux qui se négligent

white hat hacking

Vous m’avez, moi comme d’autres, souvent entendu pester sur le stupide délit de négligence caractérisée et l’obligation légale faite à l’internaute de sécuriser une belle abstraction légale : « la connexion Internet». Comme sur Internet plus qu’ailleurs, niveau sécurité, les conseilleurs sont rarement les payeurs, nous avons décidé, avec Paul Da Silva et Paul Rascagneres (RootBSD), d’aller jeter un oeil sur le pas de la porte des conseilleurs… comme on s’en doutait : c’est moche. Nous pourrions vous dire que nous avons été surpris… mais soyons sérieux, nous ne l’avons pas été le moins du monde.

Dans le titre, comme vous le constatez, j’emploie le terme un peu fort de scandale. Je vous dois une explication là dessus. Avoir un site web qui comporte des trous de sécurité, ce n’est pas une honte, ça arrive à tous, on sait qu’une faille 0day (même si les 0day sont dans les faits très rarement exploités) peut suffire à compromettre une machine, puis par effet de rebond, tout un système d’information, puis plusieurs. Il suffit d’exploiter les informations collectées à un endroit pour se retrouver résident d’un système. Le vrai scandale, c’est quand un prestataire alerte d’une faille importante et que les personnes en charge d’un  site web gouvernemental qui exposent des données personnelles de fonctionnaires refusent à ces prestataires , depuis des mois, des années, l’intervention nécessaire à la correction de cette vulnérabilité… pas vu pas pris…

Ce que le texte d’HADOPI appelle pudiquement le manque de diligence à sécuriser son accès doit il être appliqué aux internautes ? En ce qui nous concerne, nous avons la conviction qu’il est bien plus grave qu’un site gouvernemental « manque de diligence » à fixer des trous de sécurité qui par escalation de privilèges peuvent mettre en péril certaines infrastructures sensibles de l’État… et d’aller crier à la presse que nous sommes la cible de hackers chinois

Il faut donc que cette hypocrisie cesse au plus vite, ou que des garanties sérieuses soient données aux particuliers pour être en mesure de se défendre. Si cette absurde circulaire de la chancellerie était appliquée, à ce jour nous pourrions très bien faire déconnecter ou bloquer  un site gouvernemental (à quand le blocage des sites sauce Loppsi pour lutter contre les pirates ?) en y uploadant quelques mp3 et quelques divx… comme ça, juste pour rigoler.

Puisque l’Elysée ne semble pas convaincu de la nécessité de se référer à des experts avant d’orienter une législation vers une bourde certaine, nous allons concourir à l’y encourager un peu.

Rentrons dans le vif du sujet

Nous découvrions récemment avec surprise que le gouvernement, qui avec la loi Hadopi instaure le délit de négligence caractérisée, n’était pas mieux logé que les autres – bien au contraire. Le délit de négligence caractérisée vise à punir celui qui, par manque de compétences techniques notamment, ne « sécurise » pas son accès à internet si celui-ci venait à être utilisé à des fins de piratage (au sens de contrefaçon… il est important de le préciser vu que même le terme de piratage est ici sujet à caution). Une belle hypocrisie quand on sait que le niveau technique requis pour sécuriser ce qui est en mesure de l’être par un abonné final est très élevé et que, même comme cela, il est toujours possible d’usurper l’identité d’un abonné pour le faire paraître coupable (avec cette fois un niveau de compétences très relatif).

Nous (RootBSD, Bluetouff et Paul) avons décidé d’élever le débat et de vérifier si l’Etat lui même applique à son parc de sites internet les mêmes recommandations que celles qu’il souhaite voir ses concitoyens adopter.

A l’attaque !

Pour ce faire la méthode a été très simple : quelques minutes par site, des recherches de failles très basiques et à la portée de n’importe quel pirate en herbe… Occasionnellement des découvertes de documents dans des répertoires accessibles à tous et, si d’aventure on venait à tomber sur une faille un peu plus sérieuse (oui c’est le cas) passer un peu plus de temps dessus pour essayer de la faire parler. Tout l’art étant de la faire parler sans l’exploiter afin de ne pas se rendre coupable d’intrusion.

Le résultat est au delà de ce que l’on aurait pu imaginer en lançant, le 29 août vers 23h, ce capture the flag d’une envergure sans précédent (3 gus dans un garage) qui se finira le 30 août aux alentours de la même heure… Nous avons décidé de patienter jusque là pour publier ce billet mais l’actualité nous a enfin convaincu à vous livrer les résultats de nos travaux nocturnes.

Comme dit précédemment nous nous sommes concentrés sur des failles simples à trouver ou à exploiter et la liste de celles découvertes est assez évocatrice :
  • Une vingtaine de XSS ;
  • 2 LFI ;
  • Des dizaines de documents accessibles au publics et qui ne devraient pas l’être (certains marqués « confidentiel ») ;
  • Des authentifications défaillante (ou inexistantes !) d’accès à des intranets ;
  • Un grand nombre de fichiers robots.txt qui ont bien orienté nos recherches (merci 🙂 ) ;
  • Des accès aux zones d’administration / phpmyadmin comme s’il en pleuvait ;
  • Des CMS non mis à jour depuis plusieurs années ! Et présentant des vulnérabilités bien connues ;
  • Des logs d’envois de mails / newsletter / de connexion FTP / …
  • Un site en debug qui laisse, si l’on saisit la bonne url, voir les identifiants et mot de passe de connexion à la base de données ;
  • Un script SQL de génération de base de données.
Le XSS ?

Le XSS (Cross Site Scripting) est une faille qui permet de faire exécuter un script arbitraire (initialement non prévu par le site sur lequel on va le faire exécuter) en changeant certains paramètres de l’URL.
Il peut permettre de voler des identifiants de session ou des cookies si il est suffisamment bien utilisé et que ladite URL est envoyée à une personne connectée. Il permet aussi de transformer l’affichage du site pour afficher, par exemple, des formulaires invitant à la saisie de données personnelles qui seront ensuite transmises à un autre site. Pour finir il est egalement possible via du javascript executé sur le navigateur de récupérer des informations personnelles (historique, geolocalisation, …) mais également de récupérer des informations sur le reseau auquel est connecté la personne (scan du reseau,…).

Le LFI ?

Le LFI (Local File Inclusion) est une faille qui permet d’inclure un fichier présent sur le serveur dans la page en cours de visionnage. Ceci peut permettre par exemple de récupérer un fichier de configuration, des logs, certains fichiers confidentiels, … Dans certains cas de figure (nous l’avons vu lors de notre exercice) il est possible d’exécuter du code (php) et donc d’avoir un accès distant sur le serveur vulnérable. Cet accès peut permettre de voir des fichiers, d’en éditer (pages web,…), de lancer des programmes, de rebondir vers d’autres serveurs, télécharger des fichiers (illégaux ?)…
Pour l’exploiter il faudra spécifier le chemin du fichier à récupérer dans l’URL mais ceci est relativement simple à faire lorsque le serveur qui héberge le site en question autorise le listing des répertoires ou l’affichage d’erreurs comme c’est le cas sur presque tous les sites que nous avons visité.

La liste !

Pour des raisons évidentes (on préfère le confort de notre garage) nous ne pouvons pas diffuser les failles trouvées, nous allons en revanche vous lister publiquement tous les sites qui présentent ces vulnérabilités. Nous vous livrons cependant quelques éléments – les moins graves ou deja corriges – découverts pendant cette chasse à la faille.
Une version non censurée de cette liste sera livrée aux autorités afin que ces dernières puissent faire suivre à qui de droit pour que ces failles soient corrigée, ainsi qu’à quelques journalistes si ces derniers s’engagent à ne pas diffuser ces failles tant qu’elles n’ont pas fait l’objet d’une correction.

Ce qui est montrable car corrigé :

  • Sur le site http://interactif.service-public.fr, une splendide Local File Inclusion permettait d’executer du code PHP depuis le site référent en lisant un peu les logs de sa propre connexion. En formattant une URL bien sentie comme celle ci. Il devenait par exemple possible d’obtenir le mot de passe de la base de données.Voici une capture d’un log Apache obtenu par local file inclusion

LFI Service Public
  • Nous avions également pu constater à cette période non moins splendide XSS dans l’application de recherche de l’Assemblée Nationale que l’on retrouvait d’ailleurs sur d’autres sites gouvernementaux dans sa version non patchée. Nous n’allons pas revenir là dessus, tout est ici.
Ce qui n’est pas montrable pas pour l’instant :
Nous avons identifié des vulnérabilités plus ou moins graves sur les sites suivants :

http://questionsfrequentes.service-public.fr/
http://www.stats.environnement.developpement-durable.gouv.fr/
http://www.csti.pm.gouv.fr/
http://www.somme.pref.gouv.fr/
http://questionsfrequentes.service-public.fr/
http://larecherche.service-public.fr/
http://ddaf18.agriculture.gouv.fr/
http://www.service-civique.gouv.fr/
http://www.immigration-professionnelle.gouv.fr/
http://www.prospective-numerique.gouv.fr/
http://forum.assemblee-nationale.fr/
http://agriculture.gouv.fr/
http://www.rhone-alpes.travail.gouv.fr/
http://www.cnml.gouv.fr/
http://www.projetsdeurope.gouv.fr/
https://www.adele.gouv.fr/
http://www.education.gouv.fr/
http://www.pollutionsindustrielles.ecologie.gouv.fr/
http://recherche.application.developpement-durable.gouv.fr/
http://www.projetsdeurope.gouv.fr/
http://www.cnml.gouv.fr/
http://www.premar-manche.gouv.fr/
http://recherche.application.equipement.gouv.fr/
http://www.coe.gouv.fr/
http://www.ofpra.gouv.fr/
https://admisource.gouv.fr/
http://www.datar.gouv.fr/
http://www.ira-lyon.gouv.fr/
http://www.droitsdesjeunes.gouv.fr/
http://sig.ville.gouv.fr/
http://www.telecom.gouv.fr/
http://www.hci.gouv.fr/
http://www.oncfs.gouv.fr/
http://www.cas.gouv.fr/
http://www.permisdeconduire.gouv.fr/
http://www.europe-en-france.gouv.fr/
http://www.fonction-publique.gouv.fr/
http://www.cete-nord-picardie.equipement.gouv.fr/
http://www.minefi.gouv.fr/
https://mioga.minefi.gouv.fr/


Qu’en déduire de l’applicabilité de la négligence caractérisée ?

Ce type de failles est très simple à exploiter, prévenir ou corriger. Cependant elles sont bien là, bien présentes, dans des institutions qui disposent d’une direction informatique et de moyens, là où le particulier est lui abandonné à son triste sort, condamné à faire confiance à une solution de « sécurisation », en fait un HADOPIPOWARE qui crée plus d’insécurité qu’elle n’en crée.

Dans ce contexte, il nous apparait injuste, voire hypocrite, de faire peser sur le particulier une présomption de culpabilité et de lui interdire d’office tout droit à un procès équitable alors qu’il est lui même victime d’une exposition de ses données personnelles.

Rappelons au passage qu’une institution, même publique, au même titre qu’une entreprise, a elle aussi un devoir de sécurisation des données personnelles de tiers qu’elle stocke. Nous avons ici pu constater que ce n’était pas tout à fait au point. Si la multitude d’entreprises qui a travaillé sur ces différents sites n’est pas capable de sécuriser son travail alors qu’il s’agit de leur métier comment peut-on demander à la boulangère du coin, au maçon du centre ville ou à n’importe quel non-expert en le domaine de faire mieux ?… Et pourtant, tout indique que les entreprises en question étaient bien au courrant de certaines de ces vulnérabilités, en fait, elles en auraient même avertis les administrations concernées qui ont semble t-il manqué de diligence à combler les trous. Nous tenons évidemment ces informations de la bouche de certains de ce prestataires, et nous croyons en leur bonne foi.

Certaines failles découvertes ici (en 24h est-il besoin de le préciser à nouveau ?) permettent de prendre le contrôle du serveur si elles sont exploitées correctement. Qu’arrivera-t-il quand un pirate moins bien intentionné que nous décidera d’en exploiter une pour prendre le contrôle d’un serveur loué par l’état et d’y lancer des téléchargements par exemple ? Un site web, quelques données personnelles, un ou deux mots de passe, et voici une banale histoire de système sensible compromis…

Les sites visités et les failles ici révélées, nous permettent de prendre la mesure de l’inadaptation de la réponse proposée par la loi Création et Internet. Les premiers envois de mails que l’on nous promet imminents interviennent alors qu’aucun dispositif des sécurisation labellisé par la HADOPI n’a pas encore vu le jour. Il est d’ailleurs probable qu’à moins de se compromettre dans une labellisation hasardeuse sur des dispositifs qui opèrent une surveillance mais ne sécurisent en rien une connexion, ce projet reste lettre morte.En attendant, la consultation de la Haute Autorité sur cette question a été prolongée jusqu’à fin octobre, il est important que les professionnels qui y répondront gardent en tête une chose :
  • Soit on spécifie un dispositif imaginaire qui patchera même les failles des applications des postes clients alors que les éditeurs de ces applications ne les patchent pas eux mêmes.
  • Soit on spécifie un mouchard avec toutes les conséquences en terme de sécurité et de viol de vie privée que ceci implique.

… messieurs, vous êtes maintenant face à vos responsabilités. Soit nous poursuivons une stupide course à l’armement que l’État ne peut gagner, soit les autorités, les hackers et les politiques se mettent autour d’une table pour entamer un dialogue sérieux et éclairé.

Par 3 gus dans un garage
Paul Da Silva
Paul Rascagneres (aka RootBSD)
Olivier Laurelli (Bluetouff)
Publié le

ACTA la vista baby

lolcatIl y a quelques semaines maintenant je vous disais que l’ACTA était une bataille gagnable. Mercredi dernier, ce sont 377 sur 736 députés, soit une petite majorité, qui ont signé la Déclaration 12, un texte dénonçant « l’absence d’un processus transparent et la présence d’un contenu potentiellement controversé ». Le texte met aussi en garde sur la responsabilité des hébergeurs qui ne doivent pas être tenus pour responsables de ce qui circule sur leur réseau car ceci pourrait les inciter à poser des dispositifs de filtrage.

« L’accord proposé ne doit pas imposer de restrictions à la procédure judiciaire ni affaiblir les droits fondamentaux tels que la liberté d’expression et le droit au respect de la vie privée ».

On sent bien que la Déclaration 12 tranche un peu avec ce que défend actuellement le gouvernement français comme ligne sur la LOPPSI, ça risque de devenir assez drôle si nous nous retrouvons un jour obligés de transposer une directive européenne sur la neutralité du Net (à défaut de s’inspirer de l’exemplaire Islande), avec un passif  comme le nôtre… on aurait l’air malins avec notre Net ouvert par Alcatel ou notre Internet par Orange. Si nous partons avec un passif aussi chargé que celui qui se met actuellement en place, ça nous promet une chouette transposition et de longues heures à expliquer qu’avec la deep packet inspection, ça fonctionne beaucoup moins bien la neutralité et le respect de la vie privée.

Si Déclaration 12 n’a évidemment pas valeur de loi, elle n’en est pas moins un message très clair en direction des négociateurs de l’ACTA. Par ce texte les eurodéputés affirment leur volonté de défendre les libertés individuelles des citoyens européens. Ceci est un signal encourageant.

Chapeau bas à la Quadrature qui s’est beaucoup investie dans l’action de sensibilisation des eurodéputés.

Publié le

The Pirate Bay : les polices de 14 pays unies pour un raid contre le tracker torrent

the pirate bay
The Pirate Bay

Aujourd’hui se déroule une opération d’envergure implicant les forces de polices de 14 pays et faisant suite à deux années de préparation. Il s’agit visiblement de tenter de démanteler l’architecture technique de The Pirate Bay, le célèbre tracker Torrent sur lequel on ne download pas que des Krissprolls. L’essentiel de l’action semble s’être cependant tenue en Suède à Stockholm, Malmö, l’Université d’Umeå et Eskilstuna. L’hébergeur suédois hébergerait également Wikileaks mais les autorités font savoir que Wikileaks n’était pas concerné par ce raid.

En plus de la Suède, des actions ont été parallelement menées aux Pays-Bas, en Belgique, en Norvège, en Allemagne, en Grande-Bretagne, en République tchèque et en Hongrie. 4 personnes soupçonnées d’infraction aux lois sur le copyright sont actuellement interrogées.

Pour l’instant, depuis la France The Pirate Bay reste accessible mais ce n’est déjà plus le cas dans certains pays d’Europe. Cette intervention fait suite à une action en justice d’origine belge et dit viser la scène warez.

Ce n’est pas la première fois que The Pirate Bay fait l’objet d’actions visant à démanteler son infrastructure, le site a déjà à plusieurs reprises été mis hors ligne, et ceci n’a jamais duré bien longtemps. Quid de cette opération ? La suite dans les heures qui viennent.

Publié le

« Allo ?… Brice ? Y’a de la friture ! … ah ben on a été coupés »

brice de loppsi
LOPPSI : ça va saigner !

Vous vous demandez peut être pourquoi je ne cause que très rarement de la LOPPSI ici ? C’est tout simplement parce que j’en cause un peu plus par là. Et aujourd’hui c’était le grand retour de la LOPSSI devant le Sénat, en session extraordinaire s’il vous plait.

Brice Hortefeux en a profité, comme ça, dés le premier jour, alors que personne ne lui avait encore rien fait, pour plaider sans réserve en faveur d’un blocage des sites web sans l’intervention d’un juge. Et ceci a le don de m’agacer au plus haut point, car on sait depuis longtemps que les techniques de blocage en plus d’être inefficaces entrainent un important risque de sur-blocage. Et quand on lui demande comment contester un blocage si ce dernier fait 300 victimes en plus du domaine ciblé ?… On obtient une réponse pleine de lucidité et de bon sens bien politique d’une personne pour qui taper un email est un travail de secrétaire :  « A posteriori ! ».

Une atteinte à vos libertés individuelles ça va, c’est quand il y en a plusieurs qu’on a des problèmes

Comprenez que si votre Magento qui cartonne à mort est sur le même serveur mutualisé OVH ou 1&1 que le site de Jean-Kevin qui s’essaye à la fabrication de détonateurs sur son blog, le ministère de la police, en ordonnant, le filtrage de l’adresse IP du serveur qui héberge Jean-Kevin, rendra votre gagne pain inaccessible. Et vous pourrez vous plaindre par courrier recommandé à une Haute Autorité de circonstance en expliquant que ce sur-blocage a ruiné votre entreprise… de toutes façons, tant qu’il n’y aura pas eu de martyres, ça ne rentrera pas dans le crâne…

J’en viens presque à espérer que la LOPPSI passe dans sa version la plus hardcore pour assister à la boucherie de la mise en application.

Publié le

DRM : on confine toujours à l’absurde

Les DRM ou Digital Right Management sont un échec assez emblématique de la politique de fermeture par les constructeurs au nom du copyright des contenus dématérialisables. Les DRM sont arrivés dans notre corpus législatif par le biais de la loi DADVSI (elle-même issue d’une transposition d’une directive européenne, l’EUCD) qui sanctionnait jusqu’à 6 mois de prison et 30 000 euros d’amende toute personne diffusant ou facilitant la diffusion d’un logiciel destiné à casser ces mesures techniques de protection de médias. Décriés depuis le début, ils ont été en grande partie responsables de l’accélération du déclin du disque en France puisque de nombreux acheteurs de disques se retrouvaient frustrés de ne pouvoir lire ce CD dans leur voiture ou sur leur ordinateur pour le mettre dans leur baladeur MP3… une véritable invitation au téléchargement illicite.

Ici l’usage justifiait le contournement de ces mesures de protection pour pouvoir disposer d’un bien pourtant légalement acheté. Ainsi, il devenait souvent plus aisé de télécharger les MP3 sur les réseaux peer to peer que s’amuser à tenter de contourner une mesure technique de protection.

Pendant les débats sur la HADOPI, de nombreuses voix se sont faites entendre pour que, comme promis par le gouvernement de l’époque, une étude d’inpact du DADVSI soit publiée. Réponse du gouvernement « l’heure n’est plus à ça, passons à autre chose« . Si j’étais mauvaise langue, je dirais que cette étude nous aurait peut être permis de faire l’économie d’une mauvaise HADOPI.

Aux USA, les DRM sont aussi allègrement contournés. Fin juillet dernier, un tribunal américain légalisait même le jailbreak de l’iPhone, c’est à dire le contournement de ses mesures de protection pour en prendre le contrôle.

Aujourd’hui la justice américaine s’apprête à publier une liste de protections pouvant être légalement contournées. Un son de cloche très différemment perceptible de la part des négociateurs de l’ACTA qui plaident pour la généralisation de ces mêmes DRM entre d’autres frictions avec l’Union Européenne..

Peut-on dire pour autant que ceci sonne le glas du DRM ? Malheureusement non, et je prédis qu’en France certains ayants-droit ne sont pas prêts d’en démordre, ils nous resserviront du DRM en complément d’autres mesures absurdes et coûteuses du même cru avec un résultat toujours aussi nul sur la création.

Publié le

Lawtech : le full disclosure passe en procès à la Cantine

lawtech
Law Tech à la Cantine

C’est une rentrée chargée pour la Cantine, donc prenez en date, ça se tiendra le 30 Septembre 2010 de 19h30 à 21h30. La soirée organisée par le Cercle Azimov vous présentera un cas fictif de procès sur le full disclosure, plaidé par de véritables experts en la matière. Un scénario assez drôle permettra de lever le voile sur la complexité de la pratique du full disclosure pour des failles dites sensibles, et du déroulement d’un procès en conditions réelles sur ce thème technique complexe, autant techniquement que juridiquement.

Composition du « Tribunal et des Parties au procès » :
Pour la demande :
Pour la défense :
  • prévenu : Philippe Langlois, expert en sécurité informatique, P1 Security
  • témoin : M. Eric Filiol, expert en sécurité informatique, ESIEA
  • avocat : Me Ambroise Soreau, avocat, cabinet Henri Leclerc & Associés
Tribunal :

Le cas pratique :

Serge Bitnick est post-doctorant en biochimie et fait de la recherche de failles informatiques à ses heures perdues. Il découvre une faille dans le système d’information d’un hôpital. Il se rend compte qu’il existe un risque que tout le système d’information de l’hôpital soit compromis et cesse de fonctionner. Il tente immédiatement de prévenir le RSSI (Responsable de la sécurité des systèmes d’information) de l’hôpital mais, après 30 minutes de recherche sur Google, il ne trouve pas l’adresse email de celui-ci et décide d’envoyer le message suivant via le formulaire de contact présent sur le site web de l’hôpital :

« Bonjour,
J’ai remarqué que votre système informatique était victime d’une très grosse faille de sécurité. Il s’agit d’une faille du type Stack Overflow permettant un accès en lecture au Memcache de votre application web en Django-CMS. Le système SCADA est compromis et tous les respirateurs artificiels ainsi que le monitoring des salles de réveil post-opératoire de l’hôpital peuvent être contrôlés depuis une interface web rendue publique et indexée par Google. Cette faille peut être très facilement exploitée. Il y a un risque que tout votre système saute !  Il faut réparer ça très vite. Je n’ai pas trouvé le contact de votre RSSI. Contactez-moi si vous avez besoin d’aide.
Serge B.

Le lendemain, il reçoit l’email suivant :
« Cher Monsieur,
Merci de votre démarche. Je transmets votre message.
Cordialement,
Damien Champagne »

15 jours plus tard, la faille n’a toujours pas été comblée. Serge Bitnick la divulgue sur son blog et son fil Twitter (1.042 abonnés dont une poignée de journalistes spécialisés) :
« Grosse faille dans le SI de l’hosto de Tataouine http://ow.ly/17OrX2 #UBER_FAIL ! »
De fil en aiguille, l’information est reprise 3 jours plus tard dans l’édition web d’un journal national puis dans les éditions papier de différents journaux et magazines. Des familles de personnes hospitalisées dans l’hôpital concerné (et dans d’autres hôpitaux) paniquent et inondent le standard de l’hôpital pour s’assurer que tout va bien, voire se rendent à l’hôpital pour ramener chez eux leurs parents. L’hôpital porte plainte contre X pour intrusion dans un système de traitement automatisé de données et mise en danger de la vie d’autrui (la divulgation a paralysé le fonctionnement de l’hôpital pendant 2 jours mais aucun décès survenu à l’hôpital au cours de cette période n’a pu être rattaché aux suites de la divulgation). L’hôpital demande en outre des dommages et intérêts à Serge Bitnick pour le préjudice que la révélation de la faille lui aurait causée.
Serge Bitnick prétend pour sa part avoir agi uniquement pour faire prendre conscience aux gens des risque liés à une mauvaise sécurisation des systèmes informatiques, de traitement automatisé de données et mise en danger de la vie d’autrui (la divulgation a paralysé le fonctionnement de l’hôpital pendant 2 jours mais aucun décès survenu à l’hôpital au cours de cette période n’a pu être rattaché aux suites de la divulgation). L’hôpital demande en outre des dommages et intérêts à Serge Bitnick pour le préjudice que la révélation de la faille lui aurait causé.

Vous serez les témoins et les juges du dénouement de cette affaire, affûtez vos arguments et venez nombreux @La Cantine le 30 septembre 2010, 19h30. 151, rue Montmartre, Passage des Panoramas, 75002 Paris(métro Grands Boulevards ou Bourse).

Vous pouvez vous inscrire ici à cet événement.

Publié le

SOS-HADOPI : lancement à la Cantine le 13 Septembre 2010

sos hadopi
SOS Hadopi

C’est le 13 septembre prochain que se tiendra le lancement de SOS HADOPI à la Cantine à Paris. Ce service proposé par le groupe APIADOPI et porté par Renaud Veeckman, Jérôme Bourreau-Guggenheim et Christophe Berhault. Il vise à apporter une aide technico juridique aux personnes qui seraient victimes d’une coupure de connexion par le biais de ce dispositif .

SOS HADOPI n’est pas encore lancé qu’il s’attire de son côté les foudres de la Haute Autorité qui condamne l’initiative. On pourra lui porter le crédit que cette dernière, n’ayant pas commencé son travail, ni présenté son label de sécurisation décrié par SOS HADOPI et qualifié de mouchard, on reste dans pour le moment dans le procès d’intention… On les attend de pied ferme ces spécifications…. Rappelons enfin que Renaud Veckman a eu la bonne idée de déposer la marque HADOPI avant que l’État ne s’en préoccupe et que nous saurons, le 19 novembre prochain si l’utilisation du terme HADOPI peut lui être accordé étant le titulaire légitime de cette marque et disposant de la jouissance de son utilisation pour un champs d’action déterminé.

Le projet semble assez intéressant pour qu’il justifie votre présence à sa présentation à la Cantine le 13 Ssptembre 2010 de 14h00 à 16h30.

Publié le

Nexus One : un utilisateur mécontent de la 3G poursuit Google

nexus one
Nexus One by Google

Un utilisateur mécontent de l’utilisation de la 3G sur le Nexus One veut poursuivre Google. Le téléphone aurait une fâcheuse tendance à dropper la connexion 3G quand il arrive à en accrocher une selon Nathan Nabors qui a du coup déposé une plainte en recours collectif auprès de la cour fédérale de Californie.

Nathan Nabors estime que Google l’a trompé lui et des milliers d’autres utilisateurs car il est dans l’incapacité de jouir des performances haut débit affichées dans la publicité. Et ce qui ne passe pas pour cet habitant d’Orlando, Floride, c’est l’absence totale de support de Google. De son côté Google argue de la mauvaise couverture de l’opérateur de l’utilisateur, T-Mobile. En réparation, l’accusation demande au géant américain (en plus d’un gros chèque comme c’est la pratique là bas) de « mener une campagne d’information pour informer le grand public quant au caractère illégal des pratiques de Google » arguant que le Nexus One est impropre à l’utilisation décrite dans la publicité, et qu’il est en fait défectueux.