Numérique 2012, le scénario catastrophe

Eric Besson nous a promis la Lune avec son Plan Numérique 2012, NKM a été baillonnée … voilà ce qui vous attend en 2012 :

  • L’internet Français sera filtré, les internautes n’accèderont qu’aux contenus des filiales ou des maisons mères de leur fournisseur d’accès. « T’as vu hier le concert gratuit retransmit sur SFR Live pour la fête de la musique ? » « Non c’était payant chez Wanadoo donc je me suis rabattu sur le résumé de la 12e journée de la Ligue 2 ».
  • Des listes noires de mots clefs tapés sur les moteurs de recherche interdiront l’accès à tout site de streaming non labellisé par le CSA.
  • Vous payerez une taxe sur l’utilisation de Facebook et Twitter, ou les sites sociaux seront directement ponctionnés et déserteront la France .
  • La gratuité de l’information jugée dangereuse par notre Président lui même sera taxée : et ouai! si tu développe un logiciel libre il faudra t’acquitter d’une redevance à la SDRM numérique, nouvelle filiale de la Société des droits de reproduction mécaniques… on se la fera au nombre de téléchargements ce sera plus simple.
  • Ce sera le grand retour de la facturation au mégaoctet chez les fournisseurs d’accès.
  • Moins de 500 000 de foyers seront raccordés à la fibre optique.
  • Il n’y aura plus de musique sur les vidéos Youtube ou Dailymotion (ne riez pas ça a déja bien commencé, aux USA comme en France).
  • La France refusera de relayer le trafic du Magrheb puisque les fournisseurs d’accès locaux ne disposeront pas de la technologie leur permettant de filtrer les échanges, puis comme tous les terroristes sont sur internet, avec un gendarme à chaque port TCP … La France échappera ainsi au réveil numérique de l’Afrique dont toutes les infrastructures seront financées par les Chinois et les Japonais.
  • Les sites asiatiques, eux aussi très actifs en diffusion d’oeuvres soumises aux droit d’auteur et droits voisins, seront aussi rayés de l’Internet hexagonal (on va pas perdre notre temps à traduire les trackers torrents pour savoir si les oeuvres proposées sont légales ou pas).
  • Dans cette surenchère, les FAI mulsulmans bloqueront tout transit avec le monde non mulsman pour ne pas véhiculer les octects impurs des infidèles.
  • Pour combler le manque laissé, un nouveau web verra le jour, un Darknet 2.0, il sera maintenu par une immense communauté de hackers (principalement des suédois, des français, des allemands, des américains, et des anglais …)
  • Des opérateurs locaux proposeront des box bidouillées pour accéder au Darknet 2.0, un réseau lourdement chiffré, complètement décentralisé.
  • Des réseaux sans fil maillés permettront des échanges sécurisés en WLAN, ces échanges seront intraçables puisque seule des IP locales pourront y être collectées.
  • Les réseaux sociaux, taxés sur le Web se décentraliseront pour investir le Darknet 2.0 libre et gratuit, ils devront en contre partie utiliser des formats de données ouverts.

Merci qui ?

Non non et non ! le WPA n’est pas du tout « cracké »… stop les conneries !

Depuis avant hier, une rumeur basée sur un white paper datant de début août tend à se répendre comme une trainée de poudre, c’est la seconde fois qu’on nous fait le coup :

aircrack-wpa
« Le WPA craqué en moins de 60 secondes » = BULLSHIT time !

Le proof of concept présenté porte sur un très intéressant Man in the Middle  WPA/TKIP. Cédric Blanchet qui explique ici pourquoi et comment ce proof of concept n’a pas grand chose à voir avec un WPA « cracké ». Cette attaque consiste en un chopchop puis a une attaque sur le MIC TKIP comme l’explique Cédric, killer links à l’appui. J’ajouterai simplement qu’en plus de ceci, tout dépend de l’implémentation faite par le constructeur du routeur.

D’une manière générale, à chaque fois que l’on vous présente ce genre de news au titre racoleur, allez donc faire un tour sur le blog de Cédric, qui est probablement la meilleure source d’information francophone sur la sécurité wireless.

The Pirate Bay « définitivement » hors ligne… pour quelques heures :)

tpbThe Pirate bay n’est plus, le célèbre tracker torrent s’est vu coupé du Net aujourd’hui sur décision de justice. La news a été révellée par TorrentFreaks.

Enfin ça c’est sur le sol suédois, et comme prévu, The Pirate Bay est acctuellement en transfert DNS, perdu quelque part dans les tuyaux du Grand Nord.

Tout devrait rentrer dans l’ordre dés demain matin et The Pirate Bay, devrait à nouveau être en ligne. La MPAA a … encore une fois comme prévu, déplacé son problème … en fait elle l’a même amplifié.

Voir la news sur TorrentFreaks

Hacking at Random 2009 avec les ours de Bearstech

Je suis rentré hier d’Hacking at Random qui fêtait son 20e anniversaire cette année, cet évènement se tient tous les 4 ans en hollande à cheval avec les Chaos Communication Camps du CCC. C’est dans une jolie campagne hollandaise que 2500 hackers du monde entier se sont donnés rendez-vous la semaine dernière pour fêter cette édition un peu spéciale. logo-transp Des conférences de haut niveau, des rencontres insolites, des prises de contact ultra intéressante avec le gratin mondial de la sécurité informatique. Le New York Times qualifiait l’édition 1997 de Woodstock pour Hackers, l’édition 2009 n’a pas dérogé à la règle. J’étais aux côté des ours de Bearstech avec une blinde de matériel wifi et des openmoko sous la tente OpenBSD/Hackable:Devices. Au programme de cette semaine folle : une petite halte chez Infrae, à Rotterdam et où j’ai passé un super moment avec Sylvain, Kit, Guido et Wim, puis direction Vierhouten pour le Hacking at Random pour le festival : lockpicking, attaques de backbone, TOR, bidouille DECT avec un fantastique réseau déployé par l’organisation, cracking d’encryption GSM, Foaf et SSL, x509 par Dan Kaminsky, (…) et surtout cette conférence bilan qui expliquait comment l’infrastructure déployée sur le site avait été réalisée sous la main de maitre de XS4all, surement le meilleur fournisseur d’accès au Net Hollandais et l’un des tous meilleurs en Europe qui a réussi la performance de tirer de la fibre sur plus de 150 kilomètre pour numériser cette province reculée. Encore plus fort : quand on réunit 2500 hackers, on a forcemment peur de débordements comme une attaque qui partirait de là bas et utiliserait cette énorme connexion pour des actes répréhensibles … et bien non, rien de tout ça, XS4ALL confiait qu’aucun abuse n’avait été remonté.
Sur le LAN en revanche on sait que la dernière faille du client DHCP a été exploitée, le hacker a semble il réussi à passer de nombreux man in the middle.
Puis, en Off, des rencontres inoubliables, avec le boss de la sécurité de Yahoo, ou avec C-Base, The PirateBay, les anonymous, le Parti Pirate suédois, le Chaos Computer Club de Berlin, avec Dan Kaminsky titubant entre les tentes après un apéritif un peu chargé ou enfin l’élite du hack GSM avec Harald Welte notemment connu pour sa conférence « how to run your own GSM network ».
Le capture the flag organisé pour l’occasion a vu la machine qui comptait les points piratée, il a donc été interrompu.

Bilan : HAR sur 4 jours, c’est vraiment trop court, un mois entier n’aurait pas suffit à rencontrer toutes les personnes passionnantes présentes sur le site.

Dessine moi HADOPI

Dans l’esprit tortueux des aspirants orwelliens qui ont imaginé HADOPI et HADOPI 2 … Création et Internet a pour objectif avoué de sauver la création des forces du mal (aka Internet)… C’est toujours très long à expliquer alors je vous ai fait un schéma … vous allez voir c’est simple comme bonjour et ça tient vachement la route.

hadopi2-mecanisme

Heu … on a pas oublié les créateurs là ?

Ah ben oui ! Tien ils sont où les ménestrels et saltimbanques ? … O.U.B.L.I.E.S… rooooh, j’ai du mal à croire que la loi favorisant la diffusion et la protection de la création sur Internet ai pu oublier les créateurs.A y regarder de plus prêt, je ne vois pas non plus en quoi elle protège la création.

Et moi qui naïvement, j’imaginais ceci :

lasolution

Kevin Mitnick et Dan Kaminsky piratés : t’as vu la tronche de la négligence caractérisée ?

blackhatCe qu’il y a de plus rigolo dans HADOPI et qui n’a de cesse de me faire mourir de rire, c’est ce « défaut de sécurisation de ligne internet », vous savez, cette « négligence caractérisée » qui vaudra à tout internaute dont la machine à été trojannée ou rootkitée de se prendre une belle amende car le fameux « contre logiciel » propriétaire et non interopérable (et non spécifié d’ailleurs) ne sera, soit pas installé (parce qu’il n’existe pas sur votre OS) soit carrément désactivé par un programme malicieux ?

Et bien figurez vous que 2 pointures de la sécurité informatique, Kevin Mitnick et Dan Kaminsky, ont vu leur système mis à mal par des blackats pendant le Defcon. Les hackers ont publié dans un Zine l’intégralité des petits dessous des machines de deux légendes vivantes de la sécurité informatique … rien que ça.

Cher Franck Riester, cher Frédéric Mitterrand, Chère Michèle Aliot Marie, cher tout le monde qui êtes en train de défendre un texte de merde, inadapté aux usages et à la réalité de l’internet. Il s’agit là d’un avertissement très sérieux :  des experts eux mêmes se font pirater leur machine, ceci c’est peut être des hiéroglyphes pour vous, mais pour quelqu’un comme moi, ça veut dire que les machines de ces deux experts auraient très bien pu accueillir un serveur complet de fichiers illicites disponibles en téléchargement à « l’insu de leur plein gré ». Vous avez normalement des conseillers compétents (de grâce pas le beau frisé, il ne sait pas de quoi il parle), consultez les, montrez leur ceci, et demandez leur avis sur cette idiotie qu’est le délit de négligence caractérisée que vous êtes en train d’essayer d’instaurer. Ah vous ne connaissez peut être pas le pedigree de Kevin Mitnick qui a rendu fou la CIA et le FBI pendant plusieurs années, vous ne connaissez peut être pas non plus Dan Kaminsky, l’homme qui a fait trembler les DNS mondiaux ou mis à jour le rootkit de la major Sony qui a infecté plus de 500 000 machines … grâce à une autre de vos idées de génie (les DRM), depuis abandonnés et dont on attend toujours les études d’impact …

Et mettez vous ceci dans le crâne une bonne fois pour toute :

La sécurité informatique ce n’est pas un produit, c’est un process !

La sécurité a 5euros par mois, les antivirus qui bloquent tous les virus, même ceux qui n’existent pas encore (souvenez vous Tegam et Guillermito), c’est un fantasme de marketeux boutonneux à peine sorti de l’école, c’est une ânerie de plus, c’est de la publicité mensongère… et oui le « contre logiciel », c’est une albânerie.

Aucun « contre logiciel », aucun firewall, aucun antivirus n’arrêtera jamais un assaillant, ceci est de la pure fiction. Aujourd’hui, des experts en sécurité informatique internationalement reconnus en font les frais, avec HADOPI 2, ce sont des dizaines de milliers d’innocents que vous allez condamner en inversant la charge de la preuve… un raccourcis bien simple pour vous car le commun des mortels sera bien incapable d’analyser, forensic, s’il a subit une attaque, d’où ou comment : quand bien même vous ne chercheriez pas à inverser la charge de la preuve, la justice ne dispose pas non plus, en nombre suffisant, d’experts capables de confirmer ou d’infirmer un acte de piratage manifeste sur le système d’une victime qui se verra accusée à tort.

Armée Numérique : Stars Buzz écrit un monceau d’âneries

Suite à l’action qualifiée de réunion de bisounours par certains (moi le premier… oui, franchement parler HADOPI à des fans de Patrick Bruel, je vous assure que ça frise l’action caritative), sur l’initiative de la Ligue ODEBI, qui consistait à se rendre sur des forums de fans d’artistes pro HADOPI pour y ouvrir des débats sur la position de leur artiste fétiche sur ce texte, Stars Buzz se lance dans une analyse légale d’une raré débilité.

Je cite :

« Autant dire que cette action, illégale, aura surtout eu l’effet d’un chateau de sable face à l’océan. D’abord, peu d’internautes en cette fin juillet sur l’ensemble des sites visés. Etonnant d’ailleurs que la ligue n’a pas préféré s’attaquer aux sites des majors. Ensuite, l’action semble illicite aux yeux de la loi. ».

Ah bon ? C’est grave ce que vous avancez là… ceci dit un truc illicite aux yeux d’autre chose que la loi, c’est relativement rare.

Explications :

L’action d’hier consistait à :

  • s’inscrire sur un forum (nous plaidons coupable) ;
  • poster un ou plusieurs messages visant à ouvrir une discussion très actuelle sur l’HADOPI, sans contrevenir à AUCUN moment à aucune règle des forums en question (nous plaidons coupable) ;
  • à répondre aux interrogations des fans qui pour certains n’ont même jamais entendu parler d’HADOPI (nous plaidons coupable).

Les rules du raid de l’armée numérique sont même disponibles sur cette page.

Le bilan

Des administrateurs des forums en question ont délibérément choisis de fermer temporairement les forums pour ne pas avoir à répondre de positions indéfendables et censurées par le Conseil Constitutionnel pour leurs artistes : c’est leur choix.

A aucun moment les infrastructures d’hébergement de ces sites n’ont été la cible d’une montée en charge exceptionnelle attestant d’un déni de service distribué et automatisé visant à altérer le fonctionnement du système cible. AUCUN autre outil qu’un navigateur web a été utilisé pour poster des messages sur ces forums …. c’est dire le caractère illégal que souligne Stars Buzz !.

Donc chez Stars Buzz visiblement il y a un pseudo juriste pseudo geek (oui ca en fait des pseudos) qui a décrété que cette action était illégale, c’est très drôle et on va vous expliquer pourquoi :

Un forum c’est quoi ?

C’est une application en ligne de communications interpersonnelles fonctionnant sur un mode public (contrairement à un email ou à une conversation par messagerie instantanée où les interlocuteurs sont définis, un forum est par définition public et s’adresse à TOUS les visiteurs qui y ont accès en fonction de la politique de confidentialité dudit forum).

Illicite mes fesses oui !

Star Buzz enfonce le clou en nous balançant un article de loi Godfrain qui dans ce contexte pourrait tout aussi bien s(‘appliquer à la copulation des mouches subsahariennes en milieu aquatique des steppes de Yacoutie Orientale. Bref quand on ne sait pas, le mieux est quand même d’éviter de raconter des âneries et de qualifier une action ou une autre d’illégale, (voir l’article 226-10 du code pénal qui lui existe bien et que rien n’oppose à voir transposé au web).

Voici ce que nous dit Star Buzz :

Pour rappel, la loi Godfrain souligne comme illicite toute modification, altération et maintien dans un système informatisé. Dans ce cas, la loi indique “(…) une altération du fonctionnement de ce système, l’emprisonnement sera de deux mois à deux ans et une amende pouvant atteindre 15.000 euros (…) Art. 462-3. — Quiconque aura, intentionnellement et au mépris des droits d’autrui, entravé ou faussé le fonctionnement d’un système de traitement automatisé de données sera puni d’un emprisonnement de trois mois à trois ans et d’une amende de 15.000 euros ou de l’une de ces deux peines. (…) Art. 462-8. — Quiconque aura participé à une association formée ou à une entente établie en vue de la préparation, concrétisée par un ou plusieurs faits matériels, d’une ou de plusieurs infractions prévues par les articles 462-2 à 462-6 sera puni des peines prévues pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.

De l’altération et du maintien dans un système informatisé :

1° les posteurs se sont inscrits comme ils l’auraient fait sur n’importe quelle application de forum (qui vous invite expressément à le faire : il n’y a aucun contournement de dispositif de sécurité, c’est même comme ça que fonctionne un forum ou de nombreuses applications en ligne) ;

2° l’altération : le fait de poster un message sur un forum ne contrevenant à aucune des règles édictées par les forums en question ne saurait constituer une « altération ». C’est aussi débile que de dire que le premier qui poste un commentaire sur mon blog risque des poursuites pour avoir « altéré mon système informatisé » ;

3° la nature même d’un cookie envoyé par ce type d’application et faisant suite à une inscription validée par email vous renvoi au point 1° et fait tomber cette idiotie contextuelle de « maintien dans un système informatisé » exactement comme si je menaçais les utilisateurs de ce blog de poursuites pour maintien dans mon système informatisé puisqu’ils ont eu l’outrecuidance de se créer un compte utilisateur ;

4° c’est le point le plus intéressant, celui qui constitue l’infraction désignant une association formée ou une entente établie. Les anti HADOPI sont d’accord et mènent une action de contre-lobbying en utilisant des moyens surement plus légaux que faire financer par le contribuable un « site de propagande ou nul débat contradictoire n’est autorisé et ne visant qu’à promouvoir un projet de loi du gouvernement » (dixit le député Patrick Bloche dans l’Hémicycle) comme jaimelesartistes.fr. Alors on fait quoi ? on interdit le droit de réunion dans sa transposition aux affaires numériques ? Un chat de plus de 3 personnes devient une réunion non autorisée ? On déclare un channel irc en préfecture ?

Enfin cet article 462-8 pour être valable fait références aux infractions telles que décrites dans les articles suivants :

  • Art 462-2 alinéa 1er : délit d’intrusion dans le système d’autrui : nous venons de le voir, il n’y a eu aucune intrusion ;
  • Art 462-2 alinéa 2 : délit d’intrusion ayant entrainé des dégradations involontaires : toujours pas d’intrusion encore moins de dégradation ;
  • Art 462-3 : délit d’entrave au système : aucune entrave, les sites n’ont même pas été ralentis et la décision de fermeture des posts par la modération ne saurait constituer une entrave sérieuse motivés par une menace réelle ;
  • Art 462-4 : délit d’atteinte aux données : les seules données altérée pendant cette opération sont du fait des administrateurs qui ont supprimé les messages en rapport avec HADOPI, si plainte devait être portée, il faudrait qu’ils portent plainte contre eux même 🙂 ;
  • Art 462-5 : faux informatique : nous sommes de vrais gens qui avons postés sur de vrais forums … ouf.

Bref Stars Buz devrait continuer à s’occuper des starlettes siliconnées d’Hollywood au lieu de se lancer dans des disgression légales aux considérations partisanes.

Les Hacktivistes de la Ligue ODEBI font fermer des forums de fans d’artistes pro HADOPI

Comme prévu, la résistance s’organise sur le Net, les artistes pro HADOPI en sont les cibles, plus particulièrement les forums de fans de ces artistes, qui ont vu ce soir s’inviter dans les débats une « armée numérique d’anti HADOPI ». Ainsi un forum de fans de Patrick Bruel a du fermer temporairement ses portes et le même sort a été réservé pour ceux de Maxime Leforestier et Benabar.

Ce n’est qu’un début, un premier raid, pendant lequel les opposants au texte Création et Internet se sont invités dans les conversations des forums de fans pour les sensibiliser à la position de leur artiste fétiche. Mais les conversations sur l’HADOPI ne sont pas du goût des fans (certains ne savent même pas de quoi il s’agit) qui ont préférer fermer leurs forum plutôt que d’avoir à répondre des positions de leurs idoles…

L’armée numérique

Site officiel

S’inscrire


Le Web : quand les l33ts qui développent Extelia spoofent une IP de leur client Monext pour tenter de hacker des blogs … non vous n’hallucinez pas !

Il y a des approches peu fines sur le Net, c’est assez commun, tellement commun que dans 99% des cas, je n’y prête strictement aucune attention … Oui mais voilà, quand je découvre ceci dans le fil des commentaires en attente :

le-web-extelia-monext-bad-spoofing

… Même si je pense à un kiddie qui joue les Jean-Kevin en s’adonnant à l’apprentissage du chapitre 1 du bien nommé : « L’injection pour les nuls« , cette petite incursion kikoololesque m’intrigue … « Il me veut quoi lui ? »…
Puis, rapidement, j’en viens à me demander pourquoi précisemment sur cet article … Un petit whois sur l’ip et je découvre une machine appartenant visiblement à la société Monext … Apparemment, aucun rapport avec Extelia, donc pas de raison de s’inquiéter, il doit s’agir d’un salarié qui occupe sa fin de journée et qui n’a trouvé que ça à faire au lieu de jouer avec ses collègues à la Dame de Pique en réseau.

C’est donc avec un outil de hacker chinois visiblement encore trop méconnu de certains et qui commence la lettre G, qu’au pif, je lance une requête de l33t… Tenez vous bien : voici le résultat de la requête.

Il y a donc une SSII ou une Web Agency, appelons la comme on veut mais je dirais plutôt Web Agency à tendance fashouille, du nom de Le Web, qui a réalisé les sites de Extelia et de Monext … Voilà le chaînon manquant.

Du coup je demande à des personnes autour de moi s’ils n’ont pas, eux aussi, de la visite de petits rigolos …Bingo, ça « prosel » aussi chez Korben… Dingue ça !

Là tout de suite j’hésite entre :

  • L’avis du public ;
  • Le coup de fil à un ami chez Le Web,
  • L’abuse à l’ami Octave d’OVH
  • La transmission des logs et la plainte à La BEFTI ou L’OCLCTIC : une plainte pour tentative d’intrusion à l’encontre des artisans de la lutte anti « pirates » ça ferait classe non ? …

Mais qu’est ce qui peut bien passer par la tête de ces gens pour prendre les internautes pour de gros niais ?

On récapitule :

1° Un certain Callaghan qui s’illustre aussi dans les fils de commentaires de l’ami Korben, ou un de ses collègues, trouve malin d’utiliser la machine d’un client pour masquer l’identité de sa boite … C’est super con car c’est comme ça que Monext (qui n’a rien demandé), se voit associé à une entité, Extelia, qui jouit déjà d’une image déplorable chez bon nombre d’internautes … Et ça, Monext ne doit pas être super demandeur.

2° Je doute que Monext apprécie qu’une de ses machines servent à balancer des attaques (aussi ridicules soient elles), ou venir troller maladroitement de ci de là, mais ça c’est encore une autre histoire.

3° Si vous avez des soucis avec certains contenus publiés ici comme ce billet, voici plusieurs manières de me joindre, si vous souhaitez que cette histoire reste entre nous, je vous suggère même d’utiliser ceci … Ça évite en principe les malentendus et surtout de retrouver publiquement les gorasseries qu’on laisse sur les serveurs des gens en pensant qu’on est anonyme.

4° Quand on essaye ce genre de choses, on le fait localement, pas sur un petit blog comme le mien qui ne fait qu’exprimer ses inquiétudes, communes à celles de nombreux internautes, et qu’Extelia spammera à tort ou à raison (et les derniers épisodes nous amènent même à réévaluer à la hausse les ratios d’erreurs dans ces envois de mails d’avertissements).

5° Eventuellement, si vraiment vous m’en voulez et que vous voulez inscrire mon blog sur Zone-H, le minimum requis est d’apprendre à se servir de TOR (le même bidule qui fait que certaines personnes ne recevront jamais de mail motivé par des causes réelles de la part d’Extelia) ou se servir un système plus efficace pour masquer son IP que d’utiliser celle d’un client qui mène à l’identité de l’auteur réel en moins de 30 secondes.

6° Vous trouvez malin de taper sur Atos Origins … Ne vous inquiétez pas, on connaît, et avec des copains ça fait quelques années qu’on ne vous a pas attendu pour le faire … Mais la diversion ne prend pas, navré… Aujourd’hui c’est bien Extelia pwn3d le sujet.

7° Quand on bosse dans une web agency, ou une SSII et quand une faille est révélée on s’assure de la patcher pour tout ses clients au lieu de venir glander dans les fils de commentaires de blogs ou tenter des choses débiles : ça évite ce genre d’effet de bord

Je présente mes excuses à la société Monext qui n’a sûrement pas demandé de se retrouver dans ce malheureux billet, fruit d’une boulette de son prestataire, le désormais célébrissime, Le Web. A moins que je ne me trompe que ce soit bien des gens de Monext qui s’adonnent à ce genre de pratiques, mais ça, allez savoir pourquoi, j’ai beaucoup de mal à y croire.