Paranormal connectivity

Voilà, ça y est, je suis enfin rentré dans les intertubes du futur, je dispose d’une connexion FTTH, d’un upload qui me permet enfin d’envisager de travailler confortablement, d’un download qui me permet de regarder 4 flux simultanés de p0rn en HD et de coucher ma GeForce 210 (on ne se moque pas je voulais une carte graphique sans ventilo), ainsi que d’un ping me permettant de fragger pas grand monde vu que je ne suis pas gamer. Tout irait pour le mieux dans le meilleur des mondes si je n’avais pas découvert avec un étonnement de circonstance des pratiques un peu paranormales sur l’offre dont je dispose.

Tout d’abord, il faut comprendre un peu le contexte. Si mon nouveau FAI est Alsatis, le réseau physique appartient à REG.I.E.S. L’opérateur donne donc accès à Alsatis et Kiwi, deux opérateurs qui eux gèrent les abonnés professionnels et particuliers. REG.I.E.S fournit un routeur optique Inteno… un vrai, avec une prise optique et tout… pas comme sur une BBox fibre sans port optique

Le réseau est configuré comme suit :

  • Gateway 92.245.140.1 (Alsatis)
  • DNS Primaire : 194.2.0.20 (Oleane)
  • Secondaire : 8.8.8.8 (Google)

REG.I.E.S dispose de l’accès Admin sur le routeur Inteno (non accessible depuis le Net).
Il vous est gracieusement laissé un accès user/user avec mot de passe non changeable. Cet accès vous permet de régler le NAT, le Wifi, de faire du filtrage d’url… et voilà. Il ne vous est par exemple pas possible de configurer sur ce routeur les DNS de votre choix. Si vous laissez quelqu’un se connecter en wifi sur votre réseau, ce dernier peut donc naturellement accéder à la configuration du NAT et du wifi…

Si vous m’avez suivi jusque là, vous vous souvenez donc que je me suis abonné chez Alsatis et peut-être commencez-vous à vous demander à quoi ils servent dans l’histoire vu que le réseau n’est pas le leur et qu’ils ne fournissent pas le routeur permettant de vous connecter au net.

Et c’est là que je n’ai pas encore de réponse à cette question… voici pourquoi.

Alsatis fournit un routeur pour l’option téléphonie à 5 euros par mois. Il s’agit d’un Cisco WRP400 avec un firmware qui baigne dans son jus, daté de 2011 et dont le support a été interrompu en 2013, date du dernier update firmware… qui de toutes façons ne vous sert à rien puisqu’aucune config ni aucun upgrade firmware n’est persistant une fois connecté au net.

ciscofirmwareC’est donc là que ça commence à devenir fun. Je découvre alors que changer le mot de passe du Cisco est là encore mission impossible, tout comme changer le nom du réseau wifi… le routeur ne veut rien entendre, il me force une configuration Alsatis dont je ne veux pas dés que je le relie au Net.

Bref ce routeur, il dégage de mon réseau. J’aimerais au minimum avoir la main sur mon LAN, mais ça ne semble pas possible chez ce FAI avec l’équipement qu’il fournit.
Ce routeur Cisco WRP400 est normalement accessible sur l’ip locale 192.168.15.1.

Vieil automatisme, je me plante justement d’IP locale en voulant le configurer, et je rentre machinalement l’IP 192.168.0.1. Et voici sur quoi je tombe.

Capture du 2015-06-24 14:02:58

Un équipement embarquant une board Mikrotik qui n’a strictement rien à voir ni avec mon routeur optique, ni avec le Cisco fournit par Alsatis. Me demandant un peu ce que cet équipement fout sur mon LAN, je contacte alors le service technique d’Alsatis. Ce dernier me répond qu’il faut que je m’adresse au service commercial. C’est bien connu, quand le service technique sèche sur la nature d’un équipement réseau, rien de tel qu’un commercial pour répondre à vos questions.

Et c’est pas fini

Alsatis, comme tout fournisseur d’accès vous attribue une IP publique de son range. L’attribution des IP peut être fixe ou dynamique, mais la règle quand on est un FAI digne de ce nom, c’est un abonné = une IP publique… mais voilà, chez Alsatis, ton IP publique, et bien c’est pas la tienne. Tout de suite on se dit que ça va vite être le bordel. Je précise qu’à ce jour je n’ai pas encore vu de contrat de la part d’Alsatis, mon inscription s’étant réglée par téléphone. Du coup je me demande pour quel type d’Intranet j’ai pu signer… un début de réponse se trouve ici, dans les CGV, mais c’est tellement elliptique qu’au final, je ne sais toujours pas si j’ai à faire à une offre Internet ou un accès au LAN d’Alsatis, comme à l’époque d’AOL.

4.1– Le Service Internet Haut Débit :
Selon l’offre souscrite, le Client dispose pendant la durée de l’abonnement au Service Internet d’un nombre défini d’adresses emails,
d’un espace abonné et, en outre dans le cas d’une offre professionnelle, d’une adresse IP publique fixe.

J’en déduis donc que l’IP fixe, c’est pour les pros, en toute logique je devrais donc bénéficier d’une IP dynamique, ça ne m’arrange pas mais il y a des services pour gérer ça, comme DynDNS, je pourrais m’en accommoder.

L’IP publique visible qui m’est alors attribuée par Alsatis est 92.245.140.12. Vu qu’avec 100 mégas d’upload la moindre des choses c’est d’avoir un petit serveur à la maison, je me dis que je vais ouvrir deux ou trois ports. Comme j’aime quand même un peu savoir ce que mon routeur, qui marque la frontière entre mon LAN et Internet, laisse entrer et sortir, je lance un petit scan sur ce que je pense alors être mon IP publique. Et voilà que je découvre un serveur http, un accès ssh et un serveur FTP… ce alors que je n’ai à ce moment précis ouvert aucun port et que l’interface du routeur ne présente aucune règle sur l’ouverture de ces ports… conclusion, y’a comme une couille. Il est évidemment impossible d’ouvrir des ports sur mon routeur afin de rendre un serveur joignable depuis l’extérieur. En fait je peux ouvrir tous es ports que je veux, mais cette IP publique ne pointant pas sur mon routeur, il ne faut pas que je compte accéder au moindre service hosté à la maison… En fait je soupçonne Alsatis de « crowder » plusieurs clients sur la même adresse ip publique, bref le truc très bien pour sortir, mais vachement moins bien pour tomber sur son lan quand on lance un SSH sur son IP publique.

Renseignement pris au service technique, réponse épique « le service qui s’occupe des ouvertures des ports » va me recontacter… mouais enfin si « le service qui s’occupe de l’ouverture des ports » me filait tout simplement une ip publique, ça nous épargnerait à tous des maux de tête.

Pour le moment je suis dans l’attente d’Alsatis d’une réponse à mes deux questions :
1° pourquoi j’ai pas d’IP publique à moi (mon opérateur téléphonique n’attribue pas mon numéro de téléphone à plusieurs de ses abonnés et rien ne justifie ici une telle pratique)
2° pourquoi y a t-il un routeur qui ne m’appartient pas sur mon LAN…

Une IP publique qui ne pointe pas chez moi, des routeurs « minitélisés » et un équipement ISP sur mon LAN alors qu’il n’a rien à y faire… c’est un peu space le FTTH vu d’ici.

Copwatch : le fiasco de Claude Guéant

Calamiteuse, désastreuse et d’une incompétence crasse. Voilà les mots qui me viennent à l’esprit quand je lis les trombes de pixels qui se déversent dans les Internets à propos du site Copwatch (encore accessible depuis chez Numéricable… à moins que l’opérateur ait opté pour un blocage DNS foireux… j’ai même pas envie d’essayer). Cette gestion bien rock’n roll du dossier Copwatch est l’oeuvre de Claude Guéant. Comme beaucoup l’ont souligné dés la première sortie du Ministre, Claude Guéant a offert une campagne de marketing viral au site Copwatch qu’il entendait censurer. C’est ce qu’on appelle un effet Streisand, ou comment rendre une information dont tout le monde se fout, bien visible.

Nul… archi nul, même pas foutu de prendre conseil auprès d’une personne qui lui explique comment fonctionne le réseau et toute la dérision qu’il y a à convoquer des fournisseurs d’accès et de leur coller un référé pour bloquer un site qui accusait déjà des miroirs par dizaines une heure après que Claude Guéant a eu l’idée grandiose d’annoncer à la presse son désir de le censurer.

Bilan ? Une humiliation dans les règles. Une humiliation prévue, une humiliation réproductible à l’infini… Tant que les politiques n’opposeront que des mesures unilatérales de blocage de sites, le réseau les ridiculisera. Aujourd’hui, le blocage de Copwatch, c’est tout juste un panneau « interdiction de marcher sur la pelouse« , mais un panneau inauguré en grandes pompes où on aurait invité toute la presse… pathétique.

Le pire, c’est que tout le monde se fichait complètement de ce site avant que Claude Guéant ne le pointe du doigt comme le site le plus dangereux de France. Et c’est vrai que l’idée n’est pas des plus fines. Initialement, Copwatch est une initiative visant à prévenir les abus des forces de l’ordre, en faveur du respect des droits de l’homme. Le ton sur lequel est fait ce qui se veut son pendant Français est peu comparable à ce qu’il est aux USA. Copwatch à la française à, il vrai, une connotation plus haineuse, plus radicale, plus « anti-flic » et peut dans une certaine mesure mettre en péril des fonctionnaires de police et surtout, leurs familles. On est plus trop dans l’esprit initial et c’est dommage.

On a beau ne pas soutenir l’initiative elle même, il n’en demeure pas moins que la méthode Guéant, celle de l’agression du réseau par la censure unilatérale, probablement sans discussion préalable avec le ou les auteurs du site, n’est pas la bonne méthode. Les FAI courbent l’échine, ils bloqueront tant que ça ne leur coute rien… et on me souffle dans l’oreillette que FDN n’a même pas été convié à la petite sauterie ministérielle par référé.

En tout cas c’est réussi, Copwatch est maintenant partout dans la presse et dispose déjà d’une belle liste de miroirs grâce à Streisand.me.

Et que feriez vous si …

Allez, fermez les yeux et imaginez le pire. Imaginez un instant que votre fournisseur d’accès ait placé à votre insu, un mouchard dans votre box. Ce mouchard pourrait par exemple servir à écouter vos conversation, il serait activable à distance de manière totalement transparente pour votre utilisation quotidienne… Que feriez vous ?

Ne flippez pas tout de suite, c’est juste un petit sondage comme ça pour prendre la température. Et du coup ça me permet de faire un peu de pub pour l’excellent service de 123votez 😉

sondage

Internet civilisé

Cleanternet

La député Marland-Militello, décidément en très grande forme en ce moment, nous cause encore Internet, pas n’importe quel Internet, son Internet à elle est civilisé grâce à Nicolas Sarkozy… il est fort ce Nicolas.

Comme à son habitude, la député Marland-Militello démontre une confusion extrême dans ses propos, qui prouvent, une fois de plus s’il en était encore besoin, qu’elle ne comprend strictement rien à ce qu’elle raconte. Elle commence donc par se féliciter de l’immense succès populaire qu’est HADOPI (mais sur quelle planète peut bien vivre madame Marland-Militello ?).

Première tentative d’argumentation, première bêtise de gros calibre, je cite :

« Sans fournisseurs d’accès pas de piratage possible puisque pas d’internet possible »

Celle ci compte double et je ne perdrai pas de temps à lui expliquer ce qu’est l’Internet et un fournisseur d’accès, j’y renonce, désolé. Je soulignerai simplement qu’il est de notoriété publique que le « piratage » existe uniquement depuis l’avènement de l’Internet. Donc si on supprime Internet, plus de piratage, c’est d’une logique implacable !


Reportage Piratage INA
envoyé par tsubasa_403. – Vidéos des dernières découvertes scientifiques.

Ensuite, ça ne s’arrange pas :

« Il est donc logique que les fournisseurs d’accès participent à la régulation des dérives commises par certains sur internet. »

Là, il est quand même plus inquiétant de voir qu’une élue de la République trouve normal de confier une mission judiciaire aux fournisseurs d’accès. Par régulation des dérives, on parle quand même de lutte contre la contre-façon, qui est un délit. Depuis quand les fournisseurs d’accès sont ils investis d’une mission qui incombe à la justice ?

« Le travail des hommes et des femmes politiques responsables est d’agir pour qu’internet ne soit pas un monde sans foi ni loi, où les droits et les libertés seraient menacés, à commencer par la sécurité. »

Ah nous y voilà ! Internet ce monde sans foi ni loi… et les politiques vont nous sauver… c’est vrai qu’a dresser le bilan de votre oeuvre en matière d’Internet, on comprend tout de suite l’importance que des politiques légifèrent, comme pour le DADVSI, comme pour HADOPI… deux succès à n’en pas douter, on attend LOPPSI et le blocage des sites pédophiles avec impatience pour que la député Marland-Militello nous explique que grâce à Nicolas Sarkozy, plus aucun mineur n’est victime d’abus sexuels. D’ailleurs notre Internet à nous il est quand même vachement plus propre que l’Internet de nos voisins… Puis il y a ce mot à la fin de la phrase… SECURITE… là encore il est de notoriété publique que l’Etat est irréprochable et donne l’exemple. D’ailleurs avec HADOPI, on aura plus de problème de sécurité, c’est bien connu… même la NSA est parfaitement d’accord avec la député Marland-Militello, HADOPI est un succès pour la sécurité intérieure des Etats.

On a ensuite comme il est de coutume dans chaque billet de la député Marland Militello une petite diatribe à la gloire du chef :

Et grâce à notre Président de la République Nicolas Sarkozy, la France est la pionnière mondiale de l’internet civilisé.

… ouai on est trop forts nous en France ! On est super civilisés, et on a un usage très responsable des nouvelles technologies… nous sommes exemplaires !

Puis, comme on en est plus à une confusion de plus ou de moins, on termine en apothéose :

les FAI ont également un rôle de premier plan à jouer dans l’accès à une offre légale de qualité (…)

Notez qu’elle est belle celle-ci, un lapsus ultra révélateur qui assimile des fournisseurs d’accès à des producteurs de contenus… La député Marland-Militello confond ici Vivendi Universal avec un fournisseur d’accès.

Allez on se la refait, pour le plaisir :

La menace Deep Packet Inspection : analyse de la compromission d’un FAI

backboneL’analyse en profondeur de paquets (DPI) en coeur de réseau est le nouveau fantasme de la SCPP. Marc Guez son directeur ne doute pas un instant que grâce à cette solution miracle, il pourra reconnaître la légalité des octets qui transitent sur les réseaux des fournisseurs d’accès. En théorie, il n’est pas loin d’avoir raison. En pratique, c’est un peu moins sur… et du coup, je vais vous raconter une bien belle histoire, celle de Samir, aka sam_synack… une histoire encore parfaitement inconnue du grand public.

Ceci remonte à 2006, à l’époque, le fournisseur d’accès SFR s’appelait 9Télécom. Il distribuait des Neufbox à ses clients. À cette époque les Neufbox n’étaient pas équipées en GNU/Linux, le firmware était fermé et propriétaire. Mais un firmware fermé… ça s’ouvre. C’est bien ce qui est arrivé. Ce billet est assez technique, il dissèque la compromission du réseau d’un fournisseur d’accès Internet. Le détail du hack est ici relaté, vous comprendrez donc qu’il ne s’agit pas d’une fiction… c’est bien réel.

Analyse de la compromission de 300 000 Neufbox et du coeur de réseau d’un fournisseur d’accès par un gus dans son garage

Samir Bellabes, qui s’ennuyait en luttant contre ses insomnies, a eu la curiosité de commencer à causer avec sa Neufbox, fraîchement achetée quelque heures plus tôt… dramatiquement banal ? Attendez un peu, ce qui va suivre l’est un peu moins. La Neufbox se montre peu bavarde, mais animé par cette curiosité maladive qui anime tout hacker, Samir ne se décourage pas, il lui en faut bien plus. Sa méthode, simple et imparable, sniffer sur son réseau le trafic entre sa Neufbox et le Net et ainsi localiser le serveur depuis lequel elle se met à jour, récupérer ce firmware lors d’une mise à jour en dumpant les paquets. Appréciez la beauté du hack :

  • Samir scanne sa Neufbox : pas de résultat, pas grand chose à se mettre sous la dent hormis peut-être un port TCP 1287 à l’écoute à garder sous le coude :

sam@urg:~$ sudo nmap -sT  192.168.1.1 -p 1-65535
Starting Nmap 5.00 ( http://nmap.org ) at 2010-09-22 14:58 CEST
Interesting ports on 192.168.1.1:
Not shown: 65530 filtered ports
PORT     STATE  SERVICE
53/tcp   open   domain
80/tcp   open   http
1287/tcp open   unknown
1288/tcp open   unknown
8080/tcp closed http-proxy

sam@urg:~$ telnet 192.168.1.1 1287
Trying 192.168.1.1…
Connected to 192.168.1.1.
Escape character is ‘^]’
.Foxconn VoIP TRIO 3C, F01L010.00_LDCOM MAC: , VOIP FLG=1
Login:

  • Il éteint sa Neufbox et la raccorde en ethernet à sa machine sur laquelle il lance tcpdump ;
  • La Neufbox effectue une requête « ARP, Request who-has 10.0.0.1 » vers sa machine, donc la neufbox recherche le serveur 10.0.0.1;
  • Bien entendu, sa machine ne peut répondre à cette requête ;
  • Samir débranche le RJ11 sur lequel le signal ADSL arrive dans la box,  configure sa machine pour prendre l’adresse 10.0.0.1 et rallume la neufbox ;
  • Bingo, sa machine répond cette fois ci à la requête ;
  • Cette requête servait pour la box à déterminer où se trouve Internet et où se trouve le réseau local … Samir vient de tromper la Neufbox … sans une seule ligne de code ;
  • Une série de requêtes UDP et TCP se sont alors lancées depuis la Neufbox (recherche des serveurs de VoIP par exemple);
  • Mais le plus intéressant : une connexion UDP vers un serveur d’adresse publique  80.118.192.97, et vers un port de destination identifié comme du TFTP ;
  • Sur sa machine, Samir monte donc un serveur TFTP en écoute en attribuant arbitrairement à l’interface en écoute cette adresse publique ;
  • Il rallume sa box, et alors que la Neufbox cherche le serveur public,  c’est sa machine qui répond, la Neufbox s’y connecte donc naturellement ;
  • La Neufbox demande à sa machine le fichier LatestVersion.general (listant les firmwares disponibles comme on le découvre plus tard);
  • Samir a donc maintenant assez d’informations pour aller chercher le vrai serveur public TFTP qui gère les mises à jour ;
  • Le firmware est capturé :

sam@fin:~/tmp$ tftp 80.118.192.97
tftp> get F01L010.00_LDCOM-V1.6.19_AV225165_V060419_00_full.tar
Received 1666745 bytes in 6.4 seconds
tftp> quit
sam@fin:~/tmp$ file *
F01L010.00_LDCOM-V1.6.19_AV225165_V060419_00_full.tar: data
LatestVersion.general:                                 ASCII text

  • Et là, c’est le drame, une petite recherche dans le firmware sur la chaine de caractères « password » lui renvoit ceci :

httpd_username1=tibma
httpd_password1=ambit
httpd_username2=root
httpd_password2=aEzebRAWiF

  • Ces login/pass sont fonctionnels sur l’interface web de la Neufbox. Mais surtout retournons voir le CLI sur le port TCP 1287 et son prompt login, et là encore pas de souci, le mot de passe root permet d’être root sur la Neufbox.
  • Immédiatement on trouve le nom du CLI : ISOS et sa doc http://89.96.243.158/download/USERGUIDE/985_a02-ra3_cli.pdf
  • Il y a 2 interfaces (WAN et LAN) et l’interface WAN possède un adresse IP de classe privée du sous-réseau 172.16.0.0/12. (disons 172.16.42.42) … Curieux.
  • C’est là que Samir se rend compte qu’il peut envoyer du trafic à l’adresse IP voisine (par exemple 172.16.42.43, c’est à dire à une possible autre Neufbox. Un seul moyen de vérifier, se logger et éteindre cette Neufbox. C’est fait, le modem voisin ne répond plus.

La Neufbox de Samir est rootée, ainsi que plus de 300 000 de ses petites sœures !

En même temps qu’il recherche un mécanisme pour exploiter à grande échelle ces informations, il continue ses recherches basées sur les informations du firmware : les noms des serveurs donnant des adresses IP qui donnent des plages de réseau : 212.94.162.0, tftp.neufbox.neuf.fr, dhcp.neufbox.neuf.fr, ..

Et ce n’est pas fini…

  • Il scanne la plage IP, extrait :

Host pradius-dsl-2.gaoland.net (212.94.162.16) is up (0.039s latency).
Host mrtg.gaoland.net (212.94.162.5) is up (0.030s latency).
Host dns1.gaoland.net (212.94.162.1) is up (0.025s latency).
Host pippin.gaoland.net (212.94.162.15) is up (0.039s latency).
Host babar.gaoland.net (212.94.162.67) is up (0.027s latency).

  • Sur ce dernier serveur, le navigateur demande une authentification pour un mécanisme de sauvegarde à des routeurs BB IP … BACKBONE pwn3d !

Samir vient de taper à la porte du backbone… tout juste là où les partisans de la DPI souhaiteraient placer leurs équipements ! Le tout est accessible depuis le Net…. magnifique non ?

  • Et là vous vous dites que c’est blindé, pas moyen de passer ? Voici ce que trouve Samir :  Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny8 with Suhosin-Patch Server at babar.gaoland.net … Blindé en effet … enfin presque.
  • Dans la suite de la recherche, une autre plage intéressante est aussi apparue :

inetnum:        80.118.192.0 – 80.118.197.255
netname:        N9UF-INFRA
descr:
BIB backbone

Happy End

Samir est un hacker sympa, pas un terroriste, il avertit donc aussitôt Neuf qui corrige, il n’a pas exploité ses trouvailles, il ne les a pas revendues sur une board russe… un vrai coup de bol pour les 300 000 abonnés de Neuf qu’il avait à portée de shell. Cette histoire n’a jamais filtré, c’était il y a 5 ans, et la révéler aujourd’hui ne porte pas préjudice au fournisseur d’accès. Par contre elle soulève des question très lourdes.

Que faut il retenir de cette petite histoire ?

Il n’en a pas fallu plus pour compromettre l’infrastructure du réseau de Neuf : un ordinateur et un gus dans son garage.. sans aucune ligne de code et  toute l’infrastructure réseau d’un fournisseur d’accès est mise à nue. Cette même infrastructure au cœur de laquelle certains inconscients aimeraient placer des dispositifs d’écoute généralisée… à la portée de n’importe quel état, de n’importe quelle officine qui s’en donnerait les moyens… et d’un gus dans un garage !

Conclusion

La sécurité est un mécanisme global, qui fonctionne par des liens entres différents niveaux de couches et de services. Elle ne se résoud pas uniquement avec une boite gavée de GPU sur un lien réseau en terabit. Des entreprises voudraient utiliser les informations du réseau, vos informations, vos communications, afin de réaliser leur analyse et en déduire leur « légalité ». Il est clair que les solutions que la HADOPI a pour mission de labelliser seront des logiciels de lutte contre l’échange de fichiers. Ceci se fera au risque de compromettre la sécurité des utilisateurs et des entreprises. Là où on nous souffle le terme de  « logiciels de sécurisation » et où le mot d’ordre est un concept aussi fumeux que la protection des lignes ADSL pour éviter de se rendre coupable d’un délit de « négligence caractérisée« , il faut bien lire « surveillance généralisée ». Si le grand public a un besoin réel de sécurisation, de confiance dans le réseau et de protection, il ne faut pas non plus nous faire prendre des vessies pour des lanternes : le produit Qosmos/Vedicis n’est pas une solution de securisation, mais bien de surveillance.

S’il fallait trouver un moyen efficace d’offrir l’opportunité à des personnes mal intentionnées de mettre la main sur les données personnelles de millions de particuliers et d’entreprises, nous ne pourrions pas mieux nous y prendre qu’en plaçant des équipements de DPI en cœur de réseau…

Voulez vous vraiment vous rendre coupable d’une négligence caractérisée mettant en péril notre sécurité nationale Monsieur Guez ? Pensez vous que la défense de vos intérêts (et non ceux des artistes) en vaut les risques encourus ?

Être conscient des peurs sur la DPI est une chose, prendre conscience des risques en est une autre. Il est grand temps que nos responsables politiques sifflent la fin de la récréation. Si les libertés individuelles ont une fâcheuse tendance à devenir un produit d’exportation, il est impératif que ces dispositifs dangereux pour la sécurité de nos concitoyens le restent.

HADOPI : attention chérie, ça va spammer… ou pas

On avait failli l’attendre, le dernier décret d’application a été publié Lundi dernier. Il s’agissait du dernier obstacle… du moins sur le papier. Nous avons donc maintenant tous les ingrédients pour que la machine à spam la plus onéreuse du monde se mette en route. C’est donc très prochainement que nous allons pouvoir assister au spectacle que nous promet ces premiers envois de mails. Le décret se compose de 3 articles, un seul est réellement digne d’intérêt, le premier. On y apprend la teneur des pièces constituant le dossier, mais on assiste aussi au mini putsch adressé aux fournisseurs d’accès Internet en leur expliquant que même si le coût de la procédure n’est pas évoqué, ces derniers devront fournir une identification sous huitaine et fournir sous quinzaine les pièces sur les agissements de l’internaute pris en « flagrant délit d’ip sur un réseau p2p » (à l’insu de son plein gré ou pas… ce qui constitue bien le délit de négligence caractérisée que la HADOPI va tenter de réprimer comme elle le peut alors que de son côté l’Etat a toujours autant de mal à considérer avec diligence ses propres négligences caractérisées et même caractéristiques). En attendant, il faudra bien payer la facture si on veut mettre le feu au SMTP, et on imagine mal certains FAI sponsoriser les fantasmes de quelques uns, même si pour d’autres ceci ne devrait pas être un véritable obstacle.

Le décret explique aux fournisseurs d’accès qu’ils sont contraints de coopérer, amendes à la clef. A notre connaissance aujourd’hui, l’état des négociations sur la charge des identifications est au point mort. A titre indicatif, pour un particulier, dans le cadre d’une procédure, une identification se monnaye une trentaine d’euros, la HADOPI devrait avoir un prix de gros (8,5 euros par IP), mais 50 000 identifications par jour, ça représente quand même une petite somme très rondelette de 425 000 euros par jour, auxquels on ajoutera les frais de fonctionnement de la HADOPI, de ses prestataires techniques, des frais de justice pour l’Etat induits par des personnes accusées à tort (HADOPI a encore moins de chance de devenir rentable qu’un Twitter like sur France.fr)… je suis curieux de voir comment le candidat Sarkozy va justifier cette gabegie pour « protéger » cette industrie qui se voudrait culturelle. C’est pourtant la question que risque de lui opposer ces internautes qui figurez vous … sont aussi munis d’une carte d’électeur, un concept qui n’a pas été assimilé de tous. Machine à spam ou machine à perdre les élections, à ce niveau là on qualifiera ça de pléonasme.

On s’allonge sur le sofa et on sort les cacahuètes

On commence par les procès verbaux établis sous forme électronique, c’est une nouveauté, ça risque de prendre un peu de temps niveau rodage et on devrait assister, même avec une automatisation assez poussée, à quelque couacs. Soyons sympas et appliquons un coefficient d’erreur de 10% en phase de lancement, vu que le projet a du subir quelques lifting, la constitution même du constat de l’infraction avec les pièces requises s’est complexifiée à cause d’un petit détail… Seedfuck … vous savez le logiciel qui selon Franck Riester n’existe pas mais qui a quand même « un peu » modifié la procédure de constat de l’infraction. TMG expliquait ainsi qu’un morceaux du fichier devrait être téléchargé par ses soins pour que la collecte de preuves soit complète et surtout que le dossier transmis atteste bien qu’il y a eu un échange délictueux (pas d’information sur le surcoût de la procédure, ni sur le pièces matérielles à charge qui seront incorporées au dossier transmis à la HADOPI et qui faisait déjà cruellement défaut dans le premier décret d’application).

On nous aurait menti ?

Si vous ne l’aviez pas encore compris, HADOPI, c’est un truc qui est sensé vous terroriser, un peu comme une arme tactique de dissuasion. Mais au bout du compte, HADOPI, ce n’est pas un dispositif qui est sensé fonctionner ni être opérationnel à plein régime. On a fait une belle loi, avec des absurdités sans nom en total décalage avec les réalités techniques et budgétaires, mais c’est tout à fait normal vu qu’on ne compte pas l’appliquer de la manière dont elle est décrite (on peut aussi s’interroger sur les objectifs réels de la mise en place de ce dispositif). Nous nous sommes dotés d’un outil que nous n’aurons jamais les moyens de mettre en oeuvre, on ajoute à ceci le coût du travail parlementaire en temps de crise et le ridicule qui a plané et plane encore sur les pseudos solutions de sécurisation dont on risque de parler très vite … HADOPI n’est elle pas un fantastique trojan pour une suite que l’on connait tous et qui est déjà inscrite dans le marbre ?

Stochastic Packet Inspection et DPI : vers un Net quasi plus neutre du tout

L’opérateur historique, ce n’est pas que les logiciels de sécurisation un peu douteux ou un service marketing vivant sur une autre planète. Orange est aussi (et surtout) un groupe mondial dont les projets de recherche et développement sont ultra pointus. Il faut bien faire la différence entre les produits marketing grand public que l’entreprise commercialise et les produits, plus confidentiels, qu’elle aimerait vendre par exemple à d’autres opérateurs. Avant de rentrer dans le coeur du sujet, je tiens à préciser que je n’accuse aucunement l’opérateur de vouloir directement attenter à votre vie privée « à vous » … mais peut être que les marchés chinois ou iraniens… Par contre, je l’accuse clairement (comme d’autres opérateurs .. SFR pour pas les nommer) d’un douteux mélange des genres qui conduit de fait à des atteintes à la neutralité des réseaux. Notez également que je ne parle ici que des travaux de recherche d’Orange, d’AT&T et d’autres sur lesquels je suis tombé avec fo0 (ça devient une tradition) et que l’on trouve aisément en tapant quelques requêtes bien senties dans notre moteur de recherche de préféré.

Enfin, sachez que ce billet est forcément partial et cette partialité est motivée par le fait que je pense avoir de sérieuses raisons d’appréhender un détournement technologique dicté par des lobbies, des politiques et des sociétés dont c’est tout simplement l’intérêt économique. Si vous cherchez un avis neutre, ce n’est pas le bon blog… je me revendique comme étant « quasi pas neutre du tout », ce billet sera donc aussi « quasi (pas) neutre » que les conclusions du Colloque Net Neutrality de l’ARCEP par Nathalie Kosciusko Morizet.

La Deep Packet Inspection au service de la maîtrise et du bon fonctionnement des réseaux

La Deep Packet Inspection (ou analyse de paquets en profondeur) a assez mauvaise presse. Elle touche à des notions qui font assez peur et l’opérateur historique lui même, en arrive, dans certains de ses documents, à la conclusion que la concilier avec le respect de la vie privée est quasiment impossible… et pour cause, à partir du moment où vous identifiez le contenu d’une communication pour privilégier tel ou tel flux, tel ou tel protocole, donc telle ou telle information, on peut affirmer que vous violez le contenu d’une correspondance privée au sens du code des postes et des télécommunications. Ce que je viens de vous exposer, c’est le point de vue d’une personne qui s’inquiète un peu de l’Orwellisation de notre société de l’information. On va tempérer un peu notre propos avec le point de vue d’un fournisseur d’accès et vous allez tout de suite comprendre que la DPI n’est pas, totalement, incompatible avec la notion de neutralité du Net. La condition numéro 1 pour avoir un réseau neutre, c’est que le réseau fonctionne (oui je sais ça a l’air un peu bébête comme ça mais je vous assure que ça aide). On  ne va pas se voiler la face, sur un réseau des menaces existent : des malwares, des flux de connexions non conventionnels, des worms …autant de joyeusetés qui se baladent de tuyaux en tuyaux occasionnant dans le meilleur des cas des congestions, dans le pire des cas, des coupures ou des dysfonctionnements. Pour que nos réseaux fonctionnent correctement, il faut donc les protéger de certains flux, c’est l’un des « bons » usages de la DPI, on l’assimilera à des techniques destinées à maintenir une qualité de service (ou QoS).

Mais, d’expérience …

L’histoire nous montre que quand on met une arme de chasse entre les mains des hommes, ces derniers ne peuvent se s’empêcher de la retourner contre leurs semblables.Si l’on considère donc maintenant que la DPI est une arme, on sait qu’elle se retournera contre ceux qu’elle est sensée servir. De curieuses mutations génétiques de la DPI vont donc voir le jour. Premier exemple avec la stochastic packet inspection. Je suis navré d’employer des mots un peu compliqués, mais je vais faire mon possible pour que la suite soit intelligible de tous, d’avance je vous prierais de m’en excuser, mais comme on parle ici de thèmes de recherches, il faut comprendre qu’il s’agit de technologies non maitrisées (en tout cas par moi) et donc complexes à aborder. Aussi, si vous êtes chercheur et que vous maîtrisez les techniques évoquées ici, j’espère que vous me pardonnerez mon manque de connaissances sur ces sujets et je serais ravis d’échanger avec vous pour parfaire (m)la bonne compréhension des informations ici communiquées.

DPI et innovation dans les réseaux de télécommunication

Dans les réseaux Télécom, l’innovation a plusieurs fonctions, les plus nobles sont celles qui servent les intérêts des utilisateurs :

  • De nouveaux services
  • Une qualité de service qui augmente les performances des usages communs des utilisateurs
  • Plus de sécurité pour les données personnelles

Puis il y a les innovations qui servent (et je ne dis pas pour le moment que  c’est un mal) les intérêts financiers d’un fonds pensions américain (oui, là c’est bien de Numericable que je parle) ou d’actionnaires en général :

  • Optimisation des ressources (c’est la formule  de politesse pour désigner le bridage ou le traffic shaping)
  • Profilage des abonnés en vue de vente de bases de données pour une exploitation à des fins publicitaires
  • Plus de sécurité pour son réseau (ça passe aussi par la sécurisation des abonnés mais ça, côté opérateur,  c’est business qu’on vend usuellement quelques euros par mois… et par politesse, je vais éviter de vous dire ce que je pense de ces méthodes et de ces « produits »)

Malheureusement, ces intérêts ne convergent pas toujours. Ainsi la qualité de service pour un internaute c’est quand il « downloade à bloc sur Bit Torrent » et pour un fournisseur d’accès, c’est quand il se tape pas une douloureuse de bande passante trop importante en trafic transatlantique (c’est d’ailleurs pour ça qu’Orange, il y a quelques années déployait des stratégies de cache sur les réseaux peer to peer en Hollande si ma mémoire est bonne).

  • Nouveau service : abonné content —> plus d’abonnés = intérêt convergent (pour ça le spécialiste en France, c’est Free)
  • Optimisation des ressources : économies pour le fournisseur de service qui est content —> Le service marche moins bien pour l’abonné donc il est pas content = intérêt divergent
  • plus de sécurité pour le réseau de l’opérateur : restriction sur un protocole  —> l’abonné a moins d’Internet —> abonné pas content —> l’opérateur a un truc en moins a surveiller, les paquets son bloqués = intérêt divergent

Initialement, sur le papier, la DPI est une technologie présentée comme pouvant réduire la fracture entre l’abonné et le fournisseurs de services quand leurs intérêts divergent. Dans le meilleur des mondes, le fournisseur d’accès utiliserait ces outils pour que les fournisseurs de services et de contenus puissent proposer aux internautes ce qu’ils ont à leur proposer, dans les meilleures conditions possibles et… sans discrimination. Ces services et contenus seraient évidemment ceux que les internautes recherchent (en terme de volume trafic, ça nous donne au pif 40% de P2P/newsgroups binaries, DCC, megaupload, 20% de p0rn, 30% de youtube/dailymotion et 10% pour le reste). Si le fournisseur d’accès à Internet n’était QUE fournisseur d’accès, il optimiserait son réseau pour répondre à ces usages.

Tout ceci fonctionnerait super bien si les fournisseurs d’accès faisaient vraiment leur métier. Le soucis, c’est que chez nous, les fournisseurs d’accès sont aussi fournisseurs de services, éditeurs de contenus, et bientôt douane volante… ce qui fait beaucoup de casquettes pour que ces derniers aient un intérêt quelconque à conserver un Net neutre et répondant vraiment à la demande des internautes

Un réseau sur lequel les ressources rares sont correctement gérées est un réseau qui fonctionne mieux, un réseau qui est moins vulnérable à des sources de dysfonctionnement dus à des usages abusifs qui peuvent mettre tout le réseau en danger, est un réseau sur lequel abonnés et fournisseurs d’accès (à ne pas confondre avec fournisseurs de services) sont contents. Mais voilà que le récent colloque de l’ARCEP détermine on ne sait trop par quel cheminement intellectuel que la neutralité du Net, c’est la liberté « d’accéder sans discrimination à n’importe quel contenu LEGAL». Je vous disais de que le fournisseur d’accès Internet allait bientôt porter la casquette de douanier … nous voilà en plein dedans.

Pour déterminer si un octet

  • Est légal ;
  • Ne viole pas une close contractuelle de l’opérateur ;
  • Ne vas pas porter atteinte à la sécurité des autres abonnés.

… le fournisseur d’accès qui transporte l’information dans ses tuyaux (et on ne lui demande surtout pas d’en faire plus) doit analyser l’octet en question, et selon des règles qu’il déterminera lui même (ou que le législateur déterminera pour lui), il violera de fait la correspondance de ses abonnés en analysant le contenus des paquets et en décidant ou non d’acheminer la communication. Il pourra le faire de manière non nominative (c’est surement ce qu’il fera… quoi que) ou nominative (désolé mais j’ai de moins en moins confiance en la CNIL depuis la nomination du sénateur Turk à sa tête).

Confier le rôle de douanier à un fournisseur d’accès (en France, ce sont des sociétés de droit privé) qui est aussi fournisseur de services, fournisseur de contenu et attendre de lui une neutralité est complètement crétin et dangereux.

Surveillance des flux, QoS et bridage du Net

L’intérêt d’Orange (comme de tous les autres FAI qui sont fournisseurs de services et de contenus) pour la Deep Packet Inspection est un fait établit (vu les compétences internes d’Orange en la matière, on se demande même pourquoi il sous-traite ça à des entreprises américaines soumises au Patriot Act, mais c’est un autre débat), on trouve beaucoup de documents du Orange Lab sur ces thématiques. Je vous propose de commencer par cette courte mais intéressante introduction de Didier Duriez avant de lire attentivement ce document qui indique qu’en 2007 déjà, la DPI était au coeur des préoccupations du fournisseur d’accès.

L’analyse de trafic sur un réseau, c’est certes indispensable, en revanche est il tolérable qu’elle serve, sur un réseau sensé être neutre, à traquer des utilisateurs pour lutter contre leurs usages ? Ces usages, ce sont par exemple le Peer to Peer (HADOPI et les dispositifs proposés jusque là ne font aucune différence entre les contenus légaux ou pas, ils se bornent à bêtement interdire le P2P), ou l’utilisation de Skype ou de la voip en général sur les réseaux 3G (…). Et là, croyez moi, on tombe sur des perles, comme ce papier qui a l’air fort intéressant sur la détection de l’utilisation de Skype sur un réseau 3G. Je vais être un peu grossier, mais qu’est-ce que ça peut foutre à un opérateur qui me vend de « l‘Internet mobile illimité » que j’utilise Skype ? … sauf si ce qu’il me vend pour de l’Internet illimité, n’est en fait, comme il l’explique souvent dans ses CGV, qu’un Internet très limité, et dans le volume de données qu’il me permet d’échanger, et dans les services auxquels il me permet d’accéder. Si le fournisseur d’accès ne me vendait pas de minutes de communication à prix d’or, j’aurais tout à fait le droit d’utiliser de la VOIP over 3G sans que ceci le gène … manque chance pour moi, mon fournisseur d’accès à ce pseudo Internet illimité est aussi fournisseur de services téléphoniques et a tout intérêt à brider les services voix pour me les facturer avec sa casquette de fournisseurs de service de téléphonie mobile. Son discours plutôt idiot qui est de dire qu’il interdit la VOIP parce que ça lui coute en ressources sur son réseau alors qu’il vend des abonnements TF1 video pour regarder en direct les matchs de la coupe du monde ou Roland Garros en direct … et donc revêtir sa casquette de fournisseur de contenus « en exclusivité »…ça me donne envie de distribuer des baffes et d’expliquer à tout le monde à quel point ces gens prennent leurs abonnés pour des cons. Du coup, quand je lis ça : « This paper introduces a new method to detect and track Skype traffic and users by exploiting cross layer information available within 3G mobile cellular networks.»… et bien ça réveille en moi un profond sentiment d’agacement et d’inquiétude. Du coup je me pose quelques questions :

  • Est ce que mon opérateur téléphonique procède déjà à l’analyse de mes usages en disséquant les paquets de mes communications voix, SMS et data ?
  • Si non, projette t-il de le faire ?
  • Si oui, pourquoi le fait-il ?
  • En a t-il le droit ? (n’est-ce pas le travail des douanes ce genre de perquisition sans commission rogatoire ?)
  • Quelles données personnelles collecte t-il ?
  • Ais-je le droit d’y accéder ?
  • Comment faire pour y accéder ?

Pourquoi je vous parlais d’Orange au fait ?

Le Deep Packet Inspection, ça commence quand même à dater. Pour rester dans le coup, quand on a une clientèle vieillissante et que l’image ne prête pas spécialement à la reconquête d’un jeune public, il reste l’innovation. L’un des axes d’innovation d’Orange aujourd’hui, ce sont les grosses appliances réseau, à l’échelle de l’importance du fournisseur d’accès. Orange est un groupe mondial qui ne se contente pas du marché français, et c’est tant mieux… ce sont donc de très grosses appliances… Déjà là, on sent qu’on est assez loin de la PPI (Pifometric Packet Inspection) de TMG qui a semble t-il commencé à collecter les adresses IP sur les réseaux P2P. Très vite on se rend compte qu’Orange a des compétences réelles et sérieuses sur le sujet. Mais ces compétences ne s’arrêtent évidemment pas aux benchmarks du Orange Lab, on se doute bien qu’il y a des « expériences » qui sont déjà en production dans nos DSLAM, et ça, les abonnés non dégroupés de Free en savent quelque chose (le filtrage applicatif, sur la couche 7 du modèle OSI) on sait que c’est en production depuis au moins 2005. Et il y a du nouveau …

Stochastic Packet inspection

« Mais qu’est-ce que c’est encore que cet oiseau là… ? »

Le calcul stochastique est une approche de calcul probabiliste datant des années 50. Ses applications aux réseaux sont elles, très contemporaines. On déduira des diverses choses trouvées sur le Net que la SPI est donc une approche probabiliste d’inspection de paquets visant à en déterminer sa nature et à appliquer des règles en fonction de l’observation de ce qui transite sur le réseau. Tout ceci est fort louable, aucun doute, çapeut rendre de grands services en terme d’optimisation et d’économie de ressources de traitement par exemple.

« C’est grave pour ma Net Neutrality docteur ? »

Je me suis toujours refusé d’avoir peur d’une technologie, en revanche, j’avoue craindre ce que les gens en font (systématiquement dicté par l’apat du gain au détriment de l’intérêt commun). Du coup, je vais vous la faire super courte, en simplifiant à l’extrème avec, je le concède; un point de vue assez partisan : La Stochastic Packet inspection est un quasi proof of concept d’atteinte à la neutralité du Net d’un nouveau genre.

La stochastic packet inspection propose par exemple de se concentrer sur le trafic UDP, le protocole UDP est le protocole de prédilection pour les échanges en peer to peer (en clair, quand vous downloadez comme un puerco sur la Mule, vous faites de l’UDP….). Du coup, chez AT&T on s’active aussi pas mal sur le contrôle des flux P2P. Comprenez qu’il s’agit d’un marché déjà colossal qui pourrait même décupler si des mesures relatives à ACTA venaient à être appliquées un jour ou l’autre… au niveau mondial.

Évidemment chez Orange Lab, on est pas non plus en reste sur les divers moyens de filtrer le P2P (ou d’offrir de nouveaux services). Marcin Pietrzyk et Jean-Laurent Costeux Orange Labs ont même signé un papier très instructif sur le sujet dont l’abstract peut faire peur à la première lecture : privilégier un flux ou carrément « bannir le P2P », heureusement les conclusions sur les approches statistiques de classification de trafic ne proposent pour le moment pas de modèle fiable (mais pour combien de temps ?) :

Accurate identification of network traffic according to ap- plication type is a key issue for most companies, including ISPs. For example, some companies might want to ban p2p traffic from their network while some ISPs might want to offer additional services based on the application. To classify applications on the fly, most companies rely on deep packet inspection (DPI) solutions. While DPI tools can be accurate, they require constant updates of their signatures database. Recently, several statistical traffic classification methods have been proposed. In this paper, we investigate the use of these methods for an ADSL provider managing many Points of Presence (PoPs). We demonstrate that sta- tistical methods can offer performance similar to the ones of DPI tools when the classifier is trained for a specific site. It can also complement existing DPI techniques to mine traf-fic that the DPI solution failed to identify. However, we also demonstrate that, even if a statistical classifier is very accurate on one site, the resulting model cannot be applied directly to other locations. We show that this problem stems from the statistical classifier learning site specific information.

Une autre utilisation de la SPI, beaucoup plus louable celle là est la détection et l’auto-immunisation contre les attaques par dénis de service (Dos) comme le démontre ce papier de chercheurs coréens et datant déjà de 2005. Mais la préoccupation actuelle et donc le nouveau champs d’application, c’est bien le contrôle et le blocage de certaines applications « indésirables » en fonction des services que l’opérateur compte vendre à ses abonnés.

La chasse aux pirates ne profite donc pas qu’aux majors ?

Et non ! Benjamin Bayart l’explique avec le talent qu’on lui connait. Le marché de la surveillance est assez juteux pour que plein d’autres personnes en croquent une part de gâteau, à commencer par les équipementiers (Cisco, Alcatel/Lucent, ..), les fondeurs ou les designers de chip (comme le français Kalray, une émanation du CEA et de STMicroelectronics, ou comme l’américain Reservoir …). Les axes de recherche sur les technologie de surveillance (et celles que je viens de citer ne servent pas qu’à ça, bien heureusement) ont donc des perspectives industrielles très prometteuses…. et là encore, en France on est pas les plus mauvais. Toutefois, les méthodes probabilistes d’inspection de paquets semblent représenter un nouvel eldorado. La multiplication des sondes et des points de présence sur le réseau permettent un taux très intéressant d’efficacité. Si la SPI n’est pas encore 100% opérationnelle, dans un futur proche, conjuguée à la DPI, les technologies de filtrages mises entre les mains des fournisseurs d’accès (qui nous l’avons vu sont aussi fournisseurs de contenus et de services) seront redoutables. Comment ne pas entrevoir des entorses à la neutralité des réseaux, et comment de pas y entrevoir des atteintes à la vie privée des internautes ?

Ressources complémentaires

La surveillance généralisée du Net s’accélère… OH ! BAMM ! AAAAH !!

OH !

Il y a quelques jours, on parlait ici du « killswitch » qui permettrait au président américain de couper des AS entiers … mettre dans le noir des bouts entiers d’Internet. Le cauchemar est en train de devenir une réalité puisque le Sénat américain vient de l’adopter. Ce fait, d’apparence anodin, vient de créer un précédent qui ne manquera pas de passer les frontères, vous étiez prévenus.

Comme si cela ne suffisait pas, la surveillance du Net est sur le point de s’immiscer au coeur des réseaux des fournisseurs d’accès, le DPI ou Deep Inspection Packet n’ayant pas bonne presse, il subira le même sort que la vidéo-surveillance que l’on a rebaptisé « vidéo-protection »… on vous dit que c’est pour vous P.R.O.T.E.G.E.R ! On pourra imaginer un nom bien « sécurisant » au DPI, genre « Protection de flux informationnels »… on en est plus à ça près. Vous pensez qu’en chiffrant votre trafic vous serez épargné ? Oui et non … SSL, Newsoft en cause fort bien ici, n’est pas infaillible. Le modèle de confiance est déjà sérieusement entamé. De plus, les technologies DPI évoluent très vite en ce moment et le DPI sur SSL semble être une réalité. Mieux encore, sachez qu’il existe des entreprises dont on entend pas du tout parler, comme Kalray qui travaillent sur des choses assez surprenantes comme le MPPA… vous voyez qu’on est vachement bons en France… on est aussi vachement discrets.

Pendant ce temps, les cybercriminels se fendent la pêche

BAMM !

« Give a monkey a brain and he’ll swear he’s the center of the universe »

Ce qui me dérange ? C’est que nous sommes en train de donner les moyens techniques aux politiques de pratiquer la censure du Net, elle deviendra donc la règle… Au début on filtrera les pédophiles, puis les sites de jeux en ligne, puis après les contenus copyrightés, et on finira inéluctablement par le filtrage politique (comme Mitterrand en son temps pratiquait les écoutes téléphoniques, les écoutes de connexions deviendront un sport gouvernemental underground…) oui comme en Chine, et ça ne semble pas leur faire peur.

Peu importe si dans d’autres pays pas si lointains les prestataires presentis ont gentiment été écartés pour d’évidentes raisons d’atteintes à la vie privée (on aimerait bien un avis de l’Union Européenne sur le DPI d’ailleurs avant que les FAI ne trouvent le moyen de le proposer en OPT-IN en France … comme un cheval de Troie…) ou quelques déboires avec la justice… des batailles de brevets, trois fois rien. Pour ceux qui ont loupé un épisode le projet RIALTO est une émanation de Kindsight, qui est lui même une émanation de Alcatel Lucent.

AAAAAH !

Allez, on passe aux « presque bonnes nouvelles »

ZyXEL qui va pouvoir mettre à jour sa plaquette commerciale puisque les IP des entreprises n’entreront pas dans la liste des « déconnectables » par la HADOPI, comme l’explique GenerationNT entre deux projections ridicules de Pascal 2.0 : « TMG écartera du flashage les adresses IP des entreprises… Quant aux IP à l’origine de nombreux téléchargements illégaux ( un millier ), ce sera directement l’action en justice, sans e-mail d’avertissement. »

Il y a une autre bonne nouvelle, Christine Albanel a un an de plus, nous lui souhaitons donc un joyeux anniversaire que PCInpact nous propose de féter en video. Mais il y a aussi une mauvaise nouvelle, elle pourrait prendre sa retraite plus tard

Mon grand père disait …

« Chez nous, il y a trois problèmes : le feu qui dévaste le maquis, les sangliers qui ravagent les cultures, et la politique qui s’occupe de tout le reste.

5 euros par mois et par foyer : le coût d’un caprice présidentiel

PCInpact se fait l’écho d’un sévère retour de boomerang qui devrait nous tomber dessus d’ici peu. On se souvient, il y a quelques mois de ça, nageant à contre-courant de l’Union Européenne, la France instaurait une taxe de 0,9% sur le chiffre d’affaire des opérateurs télécom pour financer la suppression de la publicité sur les chaines du service public.

La Commission Européenne a aussitôt engagé une procédure d’infraction contre la France car elle constitue en fait « une charge administrative incompatible avec le droit européen ». Vivianne Reding, commissaire européenne s’en explique :

« Non seulement cette nouvelle taxation des opérateurs ne semble pas compatible avec les règles européennes, mais elle vient frapper un secteur qui est aujourd’hui l’un des principaux moteurs de la croissance économique » notait ainsi la fameuse commissaire européenne Viviane Reding.
« De plus, le risque est grand que la taxe soit répercutée vers les clients, alors que nous cherchons précisément à faire baisser la facture des consommateurs, à travers la réduction des prix de terminaison d’appel ou la diminution des coûts des appels téléphoniques mobiles, des transferts de données ou des envois de textos en itinérance. »

Xavier Niel avait déjà menacé d’une hausse de 5 euros sur les abonnements Internet haut débit. Si l’Union Européenne contraint la France à supprimer cette taxe, c’est sur la redevance TV que se porterait l’imposition. En clair, nous allons financer de notre poche un caprice présidentiel … une fois de plus… comme pour HADOPI, comme pour LOPPSI …

Comment Nicolas Sarkozy a-til réussi à endormir la presse avec sa taxe Google ?

filtrageAh le moins que l’on puisse dire c’est que ça buzz …La taxe Google de Nicolas fait les choux gras de la presse, elle fait un carton niveau discussion de comptoir. C’est vrai que c’est drôle, ridicule même comme le souligne le Kosciusco Morizet qui a le droit de l’ouvrir. C’est même tellement énorme qu’on se demande si c’est une bêtise sortie en toute conscience et destinée à faire passer ce sur quoi tout le monde semble faire l’impasse :

Nicolas Sarkozy a appelé au FILTRAGE DU NET ! … et ça étrangement, dans la presse c’est loin derrière …

La taxe Google n’est pas prête de voir le jour, rien qu’en cela, elle ne mérite pas que l’on s’y intéresse réellement, même si le gouvernement avait l’indécence de faire perdre du temps aux parlementaires avec cette ânerie, elle serait de fait caduque car inapplicable et provoquerait surement des mesures de rétorsion économique de la part des américains. Pire, l’effet sur le tissu économique du Net (ouh ouh NKM vous êtes là ?) serait catastrophique, seul Dailymotion  dont le président n’est autre que Martin Rogard, fils de Pascal Rogard qui dirige la SACD et l’un des principaux artisans d’HADOPI, serait disposé à payer cette taxe. Dailymotion est l’une des rares entreprises dans le monde qui met plus d’entrain à censurer un extrait de quelques secondes des débats de l’Assemblée Nationale (des débats publics dont le tournage est financé avec de l’argent public) pour viol de droits d’auteur (et oui c’est une honte mais sachez que ces contenus sont soumis à droit d’auteur…) que les neo nazis qui appellent à la haine raciale sur son réseau.Tous les autres gros acteurs du Net (principalement les américains, quitteraient la France physiquement et continueraient à proposer des leurs services, qu’ils payent ou non cette nouvelle cyber dîme à Mon Seigneur Sarkozy. Et c’est là qu’on rigolerait, car j’attends le jour où l’Etat menacera de filtrer Google, Hotmail ou Yahoo … -90% de trafic mail, des entreprises au chômage technique … je crois que quelques terrabits de trafic convergeraient vers le site de l’Elysée pour une petite cyber manif (distribuée). La France n’a aucun moyen technique d’appliquer cette taxe… elle ne mérite donc pas de faire les choux gras de la presse … à moins que … ce ne soit qu’une diversion.

Revenons maintenant au nerfs de la guerre : le FILTRAGE… et bien Nicolas a réussit son coup, il passe quasiment comme une lettre à la poste, notez que depuis le retard parlementaire de Loppsi, le filtrage qui devait être appliqué comme une mesure anti-terroriste est maintenant appliqué aux sites de jeux en ligne grâce à l’ARJEL (passé là encore comme une lettre à la poste), et tend à être appliqué au téléchargement de biens culturels… une bien étrange digression qui nous amène on ne sait trop comment, en moins d’un an, d’une mesure anti-pédophiles et anti-terroristes à un champs d’application élargi à l’ensemble de la population et des contenus sur le Net…Je sais pas pour vous mais si je devais définir ce qu’est un état terroriste, je dirais que c’est un état qui use de la peur pour restreindre les libertés individuelles… exactement ce que propose actuellement la France.

Voici une splendide technique en matière de communication : sortir une énormité inoffensive pour masquer une autre énormité bien plus dangereuse. Le délire autocratique de Nicolas Sarkozy appelant au filtrage alors que le conseil Constitutionnel a promis de l’encadrer de manière drastique est un exemple supplémentaire de politique de forcing du président et de son jemenfoutisme à l’égard du concept de séparation des pouvoirs … Le roi a décrété que, sans délai, on allait faire du filtrage ! … gonflé le bonhomme.

Et à y réfléchir, j’imagine bien comment l’entourage du président lui explique comme c’est « simple de filtrer » en lui balançant des choses du style :

– filtrer c’est simple il suffit d’avoir des ordinateurs très puissants … ils l’ont bien fait en Chine (la Myard Touch).

– grâce au Deep Packet Inspection, on sait filtrer du contenu (c’est partiellement vrai, partiellement faux car ça nécessite une centralisation … mais aussi super dangereux et ça laisse la porte ouverte à de nombreux débordements naturels).

Mais croyez vous, qu’après HADOPI, de laquelle les artistes sortent grand perdants, que Nicolas par amour pour ces derniers, est capable de mettre plusieurs dizaines, voir centaines de millions d’euros sur la table pour couper l’accès à un site web qui propose des liens torrents ? Le croyez vous assez agité du bocal pour mettre en place un jouet onéreux au seul profit de la défense de la Culture Française alors que ce dernier pourrait aussi bien servir à des fins de distorsion concurrentielles et servir des intérêts plus « sensibles ».

Sans verser dans la parano extrême qui tend à dire que l’État cherche à tout contrôler sur Internet (il va vraiment falloir que l’on cause de Pericles ici un de ces quatres), il y a quand même des signes inquiétants. Il faut cependant relativiser ces signes en leur opposant la profonde méconnaissance de ces outils par les politiques à qui il faudrait plusieurs mois avant de comprendre ce qu’est une route statique et comment BGP fonctionne. L’explication est à mon sens plus simple :  le gouvernement Sarkozy est en campagne permanente, il est à la recherche de mesures bling bling, si personne n’y comprend rien peu importe, c’est même encore mieux car comme ça personne ne comprendra ce que ce gouvernement a détruit en prétendant protéger les « artistes ». le commun des électeurs comprendra juste que « Nicolas Sarkozy a sauvé la culture des pédo nazis d’Internet », c’est là le seul objectif recherché par ce gouvernement. C’est d’une inconscience et d’une bêtise rare car un outil de filtrage, c’est très compliqué, très puissant et … With great power comes great responsibility … une responsabilité dont Nicolas Sarkozy n’a manifestement pas conscience.

…  Je sens que nous allons très vite reparler du filtrage, d’ailleurs les pieds nickelés ont  promis d’y travailler et dans l’interview accordée par Jean Berbinau (HADOPI), on se rend compte de la méconnaissance que les membres de l’HADOPi ont du modèle australien et de ses nombreux ratés et des débordements qui ont conduit le gouvernement à filtrer de très nombreux sites qui n’ont rien à voir avec ce pour quoi le dispositif a été originellement mis en place (le filtrage des sites pédophiles). On apprend cependant que la HADOPI « négocie avec les FAI » .. et qu’ils ont un peu de mal … j’imagine parfaitement un Jacques Toubon causer configuration de Cisco Catalyst … pas vous ?

Pour conclure je vous confierais simplement que je trouve la demande du Président de la République scandaleuse, elle outrepasse sa fonction et fait fi du principe de séparation des pouvoirs. Le ton sur lequel a été lancée cette idée laisse entrevoir une tentative à peine voilée de créer une diversion réussie en annonçant une mesure irréaliste pour mieux faire passer de manière unilatérale une mesure bien plus réaliste et plus dangereuse que le Conseil Constitutionnel souhaite sous la stricte houlette du juge … et non de la Présidence. Les pays ou ce n’est pas le cas, étrangement, ce ne sont pas des démocraties mais des dictatures, ce simple fait mérite que nous méditions tous sur les « exigences » de notre présipaute.