Tu es jeune chef d’entreprise et tu innoves? … alors casse toi pauvre con


Il y a retraites ... et retraites parlementaires...

Réaction à vif suite à un tweet de Pierre Col qui me fait tomber avec horreur là dessus. Le gouvernement aurait pour projet, dans sa loi de finances de 2011, de mettre un coup de rabot à 50 millions sur le statut de JEI (jeune entreprise innovante) qui permet à de petites sociétés fraichement constituées de bénéficier d’éxonérations leur permettant un accès facilité au coût du travail dont elles ont souvent vraiment besoin. On savait le gouvernement peu porté sur l’innovation, la recherche et d’une manière générale tout ce qui est secteurs porteurs, préférant se concentrer sur les industries du siècle passé (comme celle des moines copistes de DVD)… mais là je suis tout simplement ulcéré. Je vous invite d’ailleurs si vous pratiquez ce média social à rejoindre le groupe Facebook Sauvons les JEI.

J’ai le sentiment que c’est là encore une parfaite illustration d’une politique qui ne sait plus où racler du fond de tiroir pour masquer ce qui ressemble bien à une hausse de la fiscalité… quand on cherche à faire des économies sur ce genre de mesures utiles au développement économique et impactant directement la création d’emplois, c’est qu’on est vraiment à la rue. Cette disposition de la loi de finance, si elle venait à être adoptée devrait permettre une économie fiscale d’une cinquantaine de millions d’euros pour l’Etat… mais à côté de ça…

Alors vous allez surement me dire que c’est un peu facile, mais je ne peux m’empêcher de mettre ce projet en perspective de la carte musique Jeunes dont des rumeurs font état d’un lancement pour le 28 octobre. Et là franchement, ça me fout en rogne : une perfusion de 75 millions d’euros pour les industries culturelles à l’heure où on parle de flinguer l’innovation et les jeunes entrepreneurs de mon pays… et bien j’ai honte. Pour un gouvernement qui se veut libéral c’est vraiment encore une mesure d’une autre planète.

Allez, cerise sur le gâteau histoire de bien vous énerver pour la semaine qui approche : en plein débat sur les retraites, quand on tombe là dessus, on se dit qu’on ne frise même plus le foutage de gueule, on est vraiment en plein dedans.

Allez on s’en remet un coup pour le plaisir …

Le scandale des sites gouvernementaux qui se négligent

white hat hacking

Vous m’avez, moi comme d’autres, souvent entendu pester sur le stupide délit de négligence caractérisée et l’obligation légale faite à l’internaute de sécuriser une belle abstraction légale : « la connexion Internet». Comme sur Internet plus qu’ailleurs, niveau sécurité, les conseilleurs sont rarement les payeurs, nous avons décidé, avec Paul Da Silva et Paul Rascagneres (RootBSD), d’aller jeter un oeil sur le pas de la porte des conseilleurs… comme on s’en doutait : c’est moche. Nous pourrions vous dire que nous avons été surpris… mais soyons sérieux, nous ne l’avons pas été le moins du monde.

Dans le titre, comme vous le constatez, j’emploie le terme un peu fort de scandale. Je vous dois une explication là dessus. Avoir un site web qui comporte des trous de sécurité, ce n’est pas une honte, ça arrive à tous, on sait qu’une faille 0day (même si les 0day sont dans les faits très rarement exploités) peut suffire à compromettre une machine, puis par effet de rebond, tout un système d’information, puis plusieurs. Il suffit d’exploiter les informations collectées à un endroit pour se retrouver résident d’un système. Le vrai scandale, c’est quand un prestataire alerte d’une faille importante et que les personnes en charge d’un  site web gouvernemental qui exposent des données personnelles de fonctionnaires refusent à ces prestataires , depuis des mois, des années, l’intervention nécessaire à la correction de cette vulnérabilité… pas vu pas pris…

Ce que le texte d’HADOPI appelle pudiquement le manque de diligence à sécuriser son accès doit il être appliqué aux internautes ? En ce qui nous concerne, nous avons la conviction qu’il est bien plus grave qu’un site gouvernemental « manque de diligence » à fixer des trous de sécurité qui par escalation de privilèges peuvent mettre en péril certaines infrastructures sensibles de l’État… et d’aller crier à la presse que nous sommes la cible de hackers chinois

Il faut donc que cette hypocrisie cesse au plus vite, ou que des garanties sérieuses soient données aux particuliers pour être en mesure de se défendre. Si cette absurde circulaire de la chancellerie était appliquée, à ce jour nous pourrions très bien faire déconnecter ou bloquer  un site gouvernemental (à quand le blocage des sites sauce Loppsi pour lutter contre les pirates ?) en y uploadant quelques mp3 et quelques divx… comme ça, juste pour rigoler.

Puisque l’Elysée ne semble pas convaincu de la nécessité de se référer à des experts avant d’orienter une législation vers une bourde certaine, nous allons concourir à l’y encourager un peu.

Rentrons dans le vif du sujet

Nous découvrions récemment avec surprise que le gouvernement, qui avec la loi Hadopi instaure le délit de négligence caractérisée, n’était pas mieux logé que les autres – bien au contraire. Le délit de négligence caractérisée vise à punir celui qui, par manque de compétences techniques notamment, ne « sécurise » pas son accès à internet si celui-ci venait à être utilisé à des fins de piratage (au sens de contrefaçon… il est important de le préciser vu que même le terme de piratage est ici sujet à caution). Une belle hypocrisie quand on sait que le niveau technique requis pour sécuriser ce qui est en mesure de l’être par un abonné final est très élevé et que, même comme cela, il est toujours possible d’usurper l’identité d’un abonné pour le faire paraître coupable (avec cette fois un niveau de compétences très relatif).

Nous (RootBSD, Bluetouff et Paul) avons décidé d’élever le débat et de vérifier si l’Etat lui même applique à son parc de sites internet les mêmes recommandations que celles qu’il souhaite voir ses concitoyens adopter.

A l’attaque !

Pour ce faire la méthode a été très simple : quelques minutes par site, des recherches de failles très basiques et à la portée de n’importe quel pirate en herbe… Occasionnellement des découvertes de documents dans des répertoires accessibles à tous et, si d’aventure on venait à tomber sur une faille un peu plus sérieuse (oui c’est le cas) passer un peu plus de temps dessus pour essayer de la faire parler. Tout l’art étant de la faire parler sans l’exploiter afin de ne pas se rendre coupable d’intrusion.

Le résultat est au delà de ce que l’on aurait pu imaginer en lançant, le 29 août vers 23h, ce capture the flag d’une envergure sans précédent (3 gus dans un garage) qui se finira le 30 août aux alentours de la même heure… Nous avons décidé de patienter jusque là pour publier ce billet mais l’actualité nous a enfin convaincu à vous livrer les résultats de nos travaux nocturnes.

Comme dit précédemment nous nous sommes concentrés sur des failles simples à trouver ou à exploiter et la liste de celles découvertes est assez évocatrice :
  • Une vingtaine de XSS ;
  • 2 LFI ;
  • Des dizaines de documents accessibles au publics et qui ne devraient pas l’être (certains marqués « confidentiel ») ;
  • Des authentifications défaillante (ou inexistantes !) d’accès à des intranets ;
  • Un grand nombre de fichiers robots.txt qui ont bien orienté nos recherches (merci 🙂 ) ;
  • Des accès aux zones d’administration / phpmyadmin comme s’il en pleuvait ;
  • Des CMS non mis à jour depuis plusieurs années ! Et présentant des vulnérabilités bien connues ;
  • Des logs d’envois de mails / newsletter / de connexion FTP / …
  • Un site en debug qui laisse, si l’on saisit la bonne url, voir les identifiants et mot de passe de connexion à la base de données ;
  • Un script SQL de génération de base de données.
Le XSS ?

Le XSS (Cross Site Scripting) est une faille qui permet de faire exécuter un script arbitraire (initialement non prévu par le site sur lequel on va le faire exécuter) en changeant certains paramètres de l’URL.
Il peut permettre de voler des identifiants de session ou des cookies si il est suffisamment bien utilisé et que ladite URL est envoyée à une personne connectée. Il permet aussi de transformer l’affichage du site pour afficher, par exemple, des formulaires invitant à la saisie de données personnelles qui seront ensuite transmises à un autre site. Pour finir il est egalement possible via du javascript executé sur le navigateur de récupérer des informations personnelles (historique, geolocalisation, …) mais également de récupérer des informations sur le reseau auquel est connecté la personne (scan du reseau,…).

Le LFI ?

Le LFI (Local File Inclusion) est une faille qui permet d’inclure un fichier présent sur le serveur dans la page en cours de visionnage. Ceci peut permettre par exemple de récupérer un fichier de configuration, des logs, certains fichiers confidentiels, … Dans certains cas de figure (nous l’avons vu lors de notre exercice) il est possible d’exécuter du code (php) et donc d’avoir un accès distant sur le serveur vulnérable. Cet accès peut permettre de voir des fichiers, d’en éditer (pages web,…), de lancer des programmes, de rebondir vers d’autres serveurs, télécharger des fichiers (illégaux ?)…
Pour l’exploiter il faudra spécifier le chemin du fichier à récupérer dans l’URL mais ceci est relativement simple à faire lorsque le serveur qui héberge le site en question autorise le listing des répertoires ou l’affichage d’erreurs comme c’est le cas sur presque tous les sites que nous avons visité.

La liste !

Pour des raisons évidentes (on préfère le confort de notre garage) nous ne pouvons pas diffuser les failles trouvées, nous allons en revanche vous lister publiquement tous les sites qui présentent ces vulnérabilités. Nous vous livrons cependant quelques éléments – les moins graves ou deja corriges – découverts pendant cette chasse à la faille.
Une version non censurée de cette liste sera livrée aux autorités afin que ces dernières puissent faire suivre à qui de droit pour que ces failles soient corrigée, ainsi qu’à quelques journalistes si ces derniers s’engagent à ne pas diffuser ces failles tant qu’elles n’ont pas fait l’objet d’une correction.

Ce qui est montrable car corrigé :

  • Sur le site http://interactif.service-public.fr, une splendide Local File Inclusion permettait d’executer du code PHP depuis le site référent en lisant un peu les logs de sa propre connexion. En formattant une URL bien sentie comme celle ci. Il devenait par exemple possible d’obtenir le mot de passe de la base de données.Voici une capture d’un log Apache obtenu par local file inclusion

LFI Service Public
  • Nous avions également pu constater à cette période non moins splendide XSS dans l’application de recherche de l’Assemblée Nationale que l’on retrouvait d’ailleurs sur d’autres sites gouvernementaux dans sa version non patchée. Nous n’allons pas revenir là dessus, tout est ici.
Ce qui n’est pas montrable pas pour l’instant :
Nous avons identifié des vulnérabilités plus ou moins graves sur les sites suivants :

http://questionsfrequentes.service-public.fr/
http://www.stats.environnement.developpement-durable.gouv.fr/
http://www.csti.pm.gouv.fr/
http://www.somme.pref.gouv.fr/
http://questionsfrequentes.service-public.fr/
http://larecherche.service-public.fr/
http://ddaf18.agriculture.gouv.fr/
http://www.service-civique.gouv.fr/
http://www.immigration-professionnelle.gouv.fr/
http://www.prospective-numerique.gouv.fr/
http://forum.assemblee-nationale.fr/
http://agriculture.gouv.fr/
http://www.rhone-alpes.travail.gouv.fr/
http://www.cnml.gouv.fr/
http://www.projetsdeurope.gouv.fr/
https://www.adele.gouv.fr/
http://www.education.gouv.fr/
http://www.pollutionsindustrielles.ecologie.gouv.fr/
http://recherche.application.developpement-durable.gouv.fr/
http://www.projetsdeurope.gouv.fr/
http://www.cnml.gouv.fr/
http://www.premar-manche.gouv.fr/
http://recherche.application.equipement.gouv.fr/
http://www.coe.gouv.fr/
http://www.ofpra.gouv.fr/
https://admisource.gouv.fr/
http://www.datar.gouv.fr/
http://www.ira-lyon.gouv.fr/
http://www.droitsdesjeunes.gouv.fr/
http://sig.ville.gouv.fr/
http://www.telecom.gouv.fr/
http://www.hci.gouv.fr/
http://www.oncfs.gouv.fr/
http://www.cas.gouv.fr/
http://www.permisdeconduire.gouv.fr/
http://www.europe-en-france.gouv.fr/
http://www.fonction-publique.gouv.fr/
http://www.cete-nord-picardie.equipement.gouv.fr/
http://www.minefi.gouv.fr/
https://mioga.minefi.gouv.fr/


Qu’en déduire de l’applicabilité de la négligence caractérisée ?

Ce type de failles est très simple à exploiter, prévenir ou corriger. Cependant elles sont bien là, bien présentes, dans des institutions qui disposent d’une direction informatique et de moyens, là où le particulier est lui abandonné à son triste sort, condamné à faire confiance à une solution de « sécurisation », en fait un HADOPIPOWARE qui crée plus d’insécurité qu’elle n’en crée.

Dans ce contexte, il nous apparait injuste, voire hypocrite, de faire peser sur le particulier une présomption de culpabilité et de lui interdire d’office tout droit à un procès équitable alors qu’il est lui même victime d’une exposition de ses données personnelles.

Rappelons au passage qu’une institution, même publique, au même titre qu’une entreprise, a elle aussi un devoir de sécurisation des données personnelles de tiers qu’elle stocke. Nous avons ici pu constater que ce n’était pas tout à fait au point. Si la multitude d’entreprises qui a travaillé sur ces différents sites n’est pas capable de sécuriser son travail alors qu’il s’agit de leur métier comment peut-on demander à la boulangère du coin, au maçon du centre ville ou à n’importe quel non-expert en le domaine de faire mieux ?… Et pourtant, tout indique que les entreprises en question étaient bien au courrant de certaines de ces vulnérabilités, en fait, elles en auraient même avertis les administrations concernées qui ont semble t-il manqué de diligence à combler les trous. Nous tenons évidemment ces informations de la bouche de certains de ce prestataires, et nous croyons en leur bonne foi.

Certaines failles découvertes ici (en 24h est-il besoin de le préciser à nouveau ?) permettent de prendre le contrôle du serveur si elles sont exploitées correctement. Qu’arrivera-t-il quand un pirate moins bien intentionné que nous décidera d’en exploiter une pour prendre le contrôle d’un serveur loué par l’état et d’y lancer des téléchargements par exemple ? Un site web, quelques données personnelles, un ou deux mots de passe, et voici une banale histoire de système sensible compromis…

Les sites visités et les failles ici révélées, nous permettent de prendre la mesure de l’inadaptation de la réponse proposée par la loi Création et Internet. Les premiers envois de mails que l’on nous promet imminents interviennent alors qu’aucun dispositif des sécurisation labellisé par la HADOPI n’a pas encore vu le jour. Il est d’ailleurs probable qu’à moins de se compromettre dans une labellisation hasardeuse sur des dispositifs qui opèrent une surveillance mais ne sécurisent en rien une connexion, ce projet reste lettre morte.En attendant, la consultation de la Haute Autorité sur cette question a été prolongée jusqu’à fin octobre, il est important que les professionnels qui y répondront gardent en tête une chose :
  • Soit on spécifie un dispositif imaginaire qui patchera même les failles des applications des postes clients alors que les éditeurs de ces applications ne les patchent pas eux mêmes.
  • Soit on spécifie un mouchard avec toutes les conséquences en terme de sécurité et de viol de vie privée que ceci implique.

… messieurs, vous êtes maintenant face à vos responsabilités. Soit nous poursuivons une stupide course à l’armement que l’État ne peut gagner, soit les autorités, les hackers et les politiques se mettent autour d’une table pour entamer un dialogue sérieux et éclairé.

Par 3 gus dans un garage
Paul Da Silva
Paul Rascagneres (aka RootBSD)
Olivier Laurelli (Bluetouff)

Ecrans publie le rapport gouvernemental sur la Neutralité du Net

C’est finalement Ecrans qui a publié le rapport gouvernemental sur la Neutralité du Net.

Ce rapport était initialement tombé entre les mains du magazine Libération en début de semaine et avait très peu circulé. J’ai eu la chance d’y avoir accès et je vous avais déjà expliqué ce que j’en pensais dans ce billet un peu long.

Un article sur Ecrans lui avait été consacré et il confirmait toutes les craintes que nous pouvions avoir sur le traitement que le gouvernement réservait à la neutralité du Net que le rapport balaye en consacrant l’expression d’un « Internet ouvert ». Une digression sémantique qui signifie une chose : la neutralité de Net, en France, est bien morte et enterrée. Une proposition de loi devrait passer devant le Parlement en Novembre, il faudra être particulièrement vigilant aux mesures qui seront adoptées pour ne pas que notre « Internet ouvert » ne se transforme en réseau local national comme c’est déjà le cas avec les jeux en ligne.

Le document de 34 pages expose sans complexe des positions pro-filtrage allant même jusqu’à préconiser l’utilisation du DPI, certes de manière subtile, mais pas suffisamment pour que ceci nous échappe. Benjamin Bayart, président du fournisseur d’accès associatif FDN, a lui aussi relevé l’incompétence qui caractérise l’intégralité de ce rapport comme il le confie dans Ecrans. On ne peut non plus s’empêcher de reconnaitre la griffe d’Orange dans ce rapport comme je vous l’indiquais dans le dernier billet.

C’est le second document qui fuite en quelques jours, le 30 juillet dernier, c’est Numerama qui publiait un premier draft des recommandations des solutions de surveillance que la HADOPI entendait proposer.

Vous pouvez également télécharger ce rapport ici.

Neutralité du Net : la « quasi censure » est préconisée dans le rapport du Gouvernement

Le mois d’août promettait d’être riche en sucre, on a pas été déçu. La semaine dernière c’était une ordonnance de référé qui demandait poliment (sous peine d’amende de 10 000 euros par jours) aux fournisseurs d’accès Internet (pas tous, juste les 7 plus gros) de bloquer, par tous les moyens possibles (DPI, blocage DNS, IP, rafale d’AK47…) les sites de jeux en ligne qui n’ont pas de licence française. Un traitement que la LOPPSI promettait de n’appliquer qu’aux sites pédophiles. On s’est tout de suite dit que le lobby de la propriété intellectuelle (les moines copistes de DVD), allaient se ruer sur l’occasion afin de profiter (gratuitement) du zèle des fournisseurs d’accès.

On attendait avec une impatience non dissimulée les enseignements que le gouvernement allait tirer de son élan démocratique qu’inspirait un débat public sur la neutralité du Net. Le rapport circule en haut lieu, il s’intitule, tenez vous bien : « La neutralité de l’Internet. Un atout pour le développement de l’économie numérique ». Regardons ce qui, selon le gouvernement, représente des atouts pour le développement de l’économie numérique.

Avec un titre comme ça, on s’attend forcement à des mesures chocs qui favoriseront l’émergence de nouveaux acteurs, de nouveaux services, avoir un vrai Net exemplaire où tout est fait pour que la France se donne les moyens d’innover. On s’attend à des mesures spectaculaires comme l’Etat qui mettrait 15 milliards d’euros sur la table pour couvrir la France avec un réseau optique gigabit … mon dieu ce que vous êtes naifs !

La date de divulgation partielle de ce rapport est finement étudiée, comme toutes les âneries les plus difficiles à faire avaler à l’opinion publique, on a choisi de balancer ça en plein milieu des vacances en priant pour que la 3G ne passe pas sur la plage. Bien joué, mais manque de bol, moi les vacances en zones de tiers monde numérique (celles qui était sensées ne plus exister en 2012… vous savez le fameux plan Numériques 2012) ce n’est pas trop ma tasse de thé, j’ai un mot de mon docteur. Et pour ce que je découvre depuis hier par bribes sur le contenu de ce rapport, je dois bien avouer que je n’étais pas non plus à jour de mes vaccins… je suis tout simplement écoeuré qu’un dossier aussi important ai fait l’objet d’arbitrages interministériels d’une telle inconscience et qui masquent mal cette incompétence crasse qui plane au dessus de l’Elysée dés que l’on touche à Internet. Ce n’est pourtant pas compliqué, personne n’a demandé au gouvernement de spécifier IPV7 pour un draft à l’IETF, à peine attendons nous de lui qu’il respecte ce vieux texte poussiéreux qu’est la Constitution française et qu’il applique à l’Internet la même jouissance de nos libertés fondamentales qui font la fierté de notre République… Et bien non, au lieu de ça, la France est sur le point de rejoindre la liste des pays qui pratiquent la censure sur le Net, aux côtés de la Chine et de l’Iran… un résultat vraiment spectaculaire pour ce qui se présentait comme une consultation emprunte d’un élan démocratique.

Quand on lit ce qui ressort des bribes du rapport publié par Libération sur son site Ecrans, on craint le pire et on se dit qu’on avait déjà au moment de cette consultation, flairé un mauvais coup. Comme je n’ai toujours pas eu accès au rapport dans son intégralité j’émets donc quelques réserves mais je vais quand même me permettre de commenter ce que j’ai pu en lire. En outre, je ne saurais trop vous recommander la lecture attentive de l’article d’Astrid Girardeau sur Owni qui s’interroge sur la finalité du débat qui a animé cette consultation et qui souligne que le rapport ne se limite pas à la neutralité du net, mais englobe la neutralité des réseaux.

Je vais donc partir du principe que l’auteur de ce rapport franchement orienté est l’oeuvre d’une personne qui ne prend pas la mesure de ce qu’elle rapporte ici, je n’irais même pas perdre mon temps à aller chercher des « coupables », car vous allez voir que la situation a plus besoin de bonnes volontés pour trouver des solutions et éviter une catastrophe qu’autre chose. Il est clairement temps que nous nous mettions tous au travail, et ça va passer par supporter plus que jamais les travaux de la Quadrature du Net.

Allez, assez de blahblah, examinons ce qui ressort de ces conclusions.

Le document de 34 pages commence par des chiffres sur l’utilisation d’Internet et un historique sur la neutralité du Net. Ecrans entame le sujet en soulignant que « le Gouvernement consacre plus de la moitié du rapport aux « risques de congestion du réseau », considérés « de plus en plus importants ». » A ce niveau là, on parle encore de traffic shaping et de QoS. La première des conditions pour qu’un réseau soit neutre… c’est qu’il fonctionne. Si un FAI se prend 2 terabits de flood, il peut apparaître normal que ce dernier intervienne afin que cet incident n’impacte pas le bon fonctionnement de tout ses services… jusque là tout va bien.

« la préservation d’un Internet ouvert n’interdit pas la mise en place de mesures techniques, notamment de gestion de trafic ». Ici, on commence à annoncer subtilement la couleur, mais la gestion de trafic, dans un but de bon fonctionnement du réseau, ça reste acceptable à la seule condition que l’on définisse précisément, dans la plus grande transparence pourquoi tel noeud du réseau (et non tout le réseau de l’opérateur), se voit amputé de services ou fait l’objet d’un bridage quelconque. Le document parle alors de « modèles économiques pérennes et équitables pour l’ensemble des acteurs pour répondre à la hausse de la consommation de bande passante ». On effleure à peine la nécessité de se doter d’un réseau très haut débit, en revanche on souligne d’entrée que « ces contraintes peuvent amener les différents acteurs à des pratiques différenciées de gestion des contenus, des applications ou des terminaux, voire à développer des accords d’exclusivité »… une formule de politesse que l’on pourrait définir en un mot : « discrimination », soit l’antithèse de la neutralité… ça commence donc très fort. Le chapitre 2.2.1, page 11, nous explique que l’asymétrie de l’utilisation de certains services engendre de nouveaux coûts pour les opérateurs. Problème qui pourrait être résolu si nous avions nous aussi notre Youtube ou notre Facebook pour peser dans des négociations de délocalisation d’infrastructures afin d’équilibrer une fibre transatlantique qui n’est utilisée que dans le sens USA –> France … mais vu qu’on a rien à proposer aux américains et qu’avec ces conclusions, c’est pas demain la veille qu’on risque d’avoir un acteur capable de peser dans ce type de négociations, il ne nous reste plus qu’à opter pour des stratégies de cache de Megaupload, Youtube (…) ou de trouver une utilisation intelligente du peer to peer au lieu l’interdire..

Ecrans rapporte ensuite que le document s’acquitte du terme « neutralité » pour lui opposer le terme d’« Internet ouvert ». Alors pour commencer, un « Internet fermé », on appelle ça un Intranet, quand il y a des abonnés dessus et qu’il est accessible depuis l’extérieur par le réseau, à la limite, on appelle ça un extranet, mais surement pas Internet. Un fournisseur d’accès s’y est essayé, il s’appelait AOL… et AOL est mort… vous devinez pourquoi ? Et oui, c’est parce qu’il y avait « Internet, et Internet par AOL » (en bref, tout sauf Internet). Il va falloir que l’auteur de ce rapport revoit sérieusement ses bases car un « internet ouvert », c’est un pléonasme… impardonnable à ce niveau là.

En page 16 du document, on confirme gentiment le non sens de l’Internet ouvert opposé à l’Internet neutre en légitimant une pratique contraire à la neutralité d’un réseau qui consiste à y placer de l’intelligence en son « coeur » : « Toutefois le principe du end to end a toujours été conçu comme un principe pragmatique, visant à favoriser l’intelligence aux extrémités du réseau. Il n’interdit pas de mettre de l’intelligence en coeur de réseaux lorsque cela est pertinent. »

Ok, très bien… alors « pertinent » pour vous ça veut dire quoi ?

Quand il attaque la problématique de l’Internet mobile, le rapport souligne : « les capacités de réseaux plus restreintes […] ne permettent pas de transposer, à brèves échéances les pratiques de l’Internet fixe » et il fait référence à des services : Les « échanges en P2P »« la consultation vidéo « en streaming » », les « services de voix sur IP » restent concernés par ces « limitations et restrictions ».

Là, il va falloir m’expliquer pourquoi quand j’utilise mon téléphone comme modem, mon opérateur tente de m’interdire (en échouant lamentablement) de surfer avec mon navigateur alors que ce même opérateur me propose de regarder la TV. Qu’un seul ose me dire que consulter une page web ou me servir de la voix sur ip, une poignée d’octets en comparaison d’un flux TV qu’on me propose en illimité, va créer des « congestions » sur le réseau de mon opérateur. Là, je commence à ne plus avoir de doute sur la partialité de l’auteur du rapport. Ça fera l’objet d’un autre billet, mais j’entends bien prouver que la deep packet inspection est déjà bien en place sur les réseaux des opérateurs téléphoniques. Le rapport ne trouve rien à redire aux pratiques d’interdiction de l’utilisation de certains services comme la voix sur IP et sous entend qu’il ne s’agit pas là de discrimination. J’ai promis à une personne qui se reconnaitra de ne pas taper trop fort, je vais donc ici m’abstenir de commenter ce point plus amplement.

L’internet du riche et l’Internet du pauvre

L’un des principes fondateurs de l’Internet induit par ce que l’on appelle la neutralité du Net, c’est que tout le monde a accès au même Internet sans qu’une discrimination ne s’opère. Là, on brise le mythe, et on s’égare dans une discrimination des services qui deviendrait monnayable. On ne parle pas de débits, mais clairement d’accès à certains services qui constituent Internet : « L’expéditeur peut payer un complément pour avoir des garanties de qualité de service. ». Si vous voulez être assurés que vos mails parviendront bien à leur destinataire, vous aurez peut-être à payer à votre opérateur un « supplément mail ». D’ailleurs le rapport ose cette splendide comparaison « Le service postal fonctionne [ndlr : comme Internet] sur une approche best effort. Il n’y a pas de ressources pré-allouées dans le bureau de poste. Le facteur fait ses meilleurs efforts pour délivrer le courrier mais celui-ci peut être retardé en cas de surcharge, et l’expéditeur n’a pas la garantie que le courrier soit délivré avec succès. Cependant, l’expéditeur peut payer un complément pour avoir des garanties de qualité de service. ». Un seul mot me vient à l’esprit :  M.A.G.N.I.F.I.Q.U.E. A quand l’option « smtp qui fonctionne » à 5 euros par mois chez Orange ?

DPI pour tout le monde, censure annoncée (2.3.2 De nouveaux mécanismes, plus intrusifs, de gestion du trafic – page 18)

Et si le débat sur la neutralité du Net n’était en fait que l’occasion de consacrer la DPI, le filtrage et le blocage des sites ? C’est la question que je me posais ici en plein colloque de l’ARCEP pour lequel je n’ai pas même réussi à obtenir mon entrée. Contre toute attente, comme le rapporte Ecrans, la réponse du gouvernement est la suivante : Le rapport va droit au but, assimilant « le traitement différencié de certains flux », dans le cadre du respect des obligations légales, à une« nécessité ». Il précise : « sur l’Internet, comme ailleurs, les agissements illicites (fraudes et escroqueries, délits de presse, atteintes à la vie privée, contrefaçon, piratage des oeuvres protégées par le droit d’auteur, diffusion de contenus pédopornographiques, etc.) doivent être poursuivis et sanctionnés, ce qui peut impliquer la mise en place de dispositifs de filtrage ou de blocage de certains contenus » et de conclure par un superbe « et cætera » dans lequel on pourra par exemple coller allègrement la diffamation, l’outrage au drapeau, la divergence d’opinion… CE QUE VOUS VOULEZ… le vrai symbole d’un « Internet ouvert », on nous avait pas dit que c’était un Internet qui « ouvrait la porte à toutes les fenêtres », c’est maintenant chose faite. Si vous n’avez pas saisi, on parle bien de flicage des internautes où la responsabilité judiciaire serait endossée par les fournisseurs d’accès à qui on confierait les mêmes pouvoirs que les douanes, à savoir une commission rogatoire permanente lui permettant d’analyser toutes vos requêtes et où il pourrait décider de les acheminer ou de les bloquer. Soit en le faisant de manière qui viole clairement votre vie privée, avec la deep packet inspection, soit en se basant sur une analyse statistique (avec un taux d’erreur allant de 6 à 10% selon les papiers de recherche que j’ai pu avoir sous les yeux) avec la stochastic packet inspection. Le point du délit de presse mentionné dans ce rapport est aussi particulièrement inquiétant, on peut en conclure que Médiapart aurait été filtré ou plutôt bloqué à la publication des enregistrements pirates de l’affaire Bettencourt et on s’interroge sur qui aurait pu prendre cette décision (le fournisseur d’accès ? un juge ? l’Elysée ? Le ministère des bonnes moeurs sur Internet ? Frédéric Mitterrand ?…). J’ai du mal à ne pas faire le rapport avec la proposition de résolution sur la liberté de la presse de Muriel Marland-Militello. Le rapport a quand même le bon goût de signaler la DPI comme une technologie intrusive qui pourrait être utilisée à d’autres fins que celles prévenues initialement.

« Quand t’es au fond, il suffit de creuser un peu plus »

« l’AppStore et ne prend pas en charge la technologie Flash, suscite naturellement des questions par rapport à l’objectif de neutralité de l’Internet. »

On assiste enfin ici à une démonstration supplémentaire (et franchement triste) de l’incompétence du rédacteur du rapport qui ne sait visiblement pas que Flash ne fait pas « partie d’Internet » (ou alors j’ai loupé son introduction au W3C et la RFC de l’IETF ). C’est ici une société qui vend un produit propriétaire et qui discrimine la technologie propriétaire d’une autre société, mais ce n’est en aucun cas une atteinte à la neutralité du Net puisque Flash n’a jamais fait parti du Net. Ça respire l’amateurisme et à ce niveau c’est tout bonnement consternant.

En conclusion

Il est triste que la consultation sur la Neutralité du Net, le colloque de l’ARCEP et les tonnes de rapports déjà produits aboutissent à ce que je viens de lire. Même les choses les plus élémentaires comme la définition des termes que l’on y emploi ne sont pas maîtrisées. Je peine à croire que ce compte rendu ait été réalisé avec l’impartialité que l’exercice exige, il est truffé de non sens. La prochaine étape logique serait que le Gouvernement assimile certains usages cryptographiques à des pratiques illicites et n’en vienne à les règlementer, ou qu’il contraigne les FAI à filtrer comme ils peuvent les paquets qu’ils ne peuvent pas déchiffrer. Ça vous paraît ahurissant ? Et pourtant ça colle tellement avec le couplet sur le filtrage, c’est d’une logique implacable, nous risquons bien de nous retrouver avec une obligation de détenir un permis pour avoir le droit d’utiliser SSH.

Si Coluche avait pu constater le nombre d’âneries que contient ce rapport, il aurait conclu que c’est un peu comme un artichaut : « plus on en mange, plus on en a dans l’assiette ».

Je m’arrête ici pour ce soir, mais il risque fort d’y en avoir une seconde couche une fois que ce document sera officiellement rendu public.

Droit à l’oubli numérique : pourquoi c’est crétin ?

Attention, malgré un titre provocateur, ma position sur ce point est loin d’être tranchée, je ne nie pas qu’il existe des cas dramatiques, en revanche je trouve stupide de légiférer sur ce qui est techniquement absurde et dangereux (notre corpus législatif est déjà suffisant pour répondre aux problématiques de retraits de contenus diffamatoires ou portant atteinte à la personne). Je réagis à un tweet de @versac signalant qu’une consultation est actuellement en cours sur ce thème et dénonçant par là les « sécuricistes » … point sur lequel je le rejoins parfaitement, et voici pourquoi :

Primo, la problématique :

Oui certaines personnes, peu éduquées numériquement ont à souffrir de ce que la tendance marketing actuelle appelle la e-réputation. Il y a même des cas dramatiques (Cyndy Sanders si tu me lis…). Pour les gens comme tout le monde (… tout le monde n’a pas le don d’un Frédéric Lefèbvre pour se faire détester des internautes) tout commence par une confiance excessive sur les informations qu’ils diffusent sur le Net via des blogs, des réseaux sociaux ou autres. L’information peut être reprise, déformée et rediffusée… comme dans la vraie vie. Il y a bien des cas dramatiques qui existent, par exemple des mineurs s’exhibant devant des webcams et se retrouvant sur des sites malsains, mais là encore il s’agit d’un manque véritable d’éducation et les parents en sont au moins aussi responsables que les victimes elles mêmes.

De nombreuses questions autour de ce fumeux concept de droit à l’oubli :

  • Que sommes nous prêts à accepter pour pardonner la bêtise des uns et le manque d’éducation des autres ?
  • Comment faire pour sortir des informations qui sont entrées dans le réseau ?
  • Combien cela couterait-il ?
  • Qui appliquerait un blocage (les FAI ?) ou ferait appliquer un retrait de contenu ?
  • On le ferait sur demande de n’importe qui ou faudrait il que ce soit un juge qui ordonne pour un motif constitué légalement le droit à l’exercice de cette demande d’oubli ?
  • Est-ce que ça ne risque pas de nuire à des choses bien utiles comme le site Archive.org qui s’est donné pour mission d’être la mémoire du web ?

En pratique, faire retirer un contenu peut être envisagé comme la solution … sauf que le réseau des réseaux ne connaissant pas de frontière, l’information est répliquée et rediffusée hors de nos juridictions, elle est dans le cache des moteurs de recherche, sur les disques durs des gens qui l’ont visionné …. En soi, l’oubli sur Internet n’est donc techniquement pas possible, il est même complètement absurde. N’importe qui pourra l’archiver une information et la rediffuser des années après. On dit que les français n’ont pas de mémoire, c’est peut être aussi pour ça que le Net  un rôle sociétal à jouer.

Il m’est avi que ce droit à l’oubli est illusoir, c’est tout ce qu’un certain bisounours hémiplégique (Emmanuel Hoog, si vous ne voyez pas de qui je parle) a trouvé pour faire parler de lui … et il a réussit son coup. A quand une consultation publique sur l’engagement de l’Etat dans le déploiement d’un réseau fibré gigabit accessible aux particuliers (comme c’est déjà le cas en Corée du Sud) ?

Pour citer un ami qui se reconnaitra, « La France n’a pas les tuyaux de ses ambitions« , elle a en ce moment en revanche un faculté hallucinante à légiférer sur des âneries.

En complément d’information, je vous invite à lire le savant billet de Denis Ettighoffer avec lequel je me suis pourtant souvent opposé à l’époque où je n’étais qu’étudiant à l’ISTEC 😉

PS : Denis, je suis ravis de constater que vos positions sur le monde du logiciel libre ont évolué 😉

Net Neutrality : Le gouvernement consulte « enfin » les 5 gus du garage

Annoncé à l’instant via le Twitter de Nathalie Kosciusko-Morizet, la consultation sur la Net Neutrality est ouverte. Si vous aussi vous êtes un gus dans un garage, un professionnel du Net, un défenseur des libertés numériques, un activiste, ou tout simplement attachés à conserver un Internet ouvert et neutre vous êtes invités à venir vous exprimer sur ce thème. Niveau outil c’est un peu cheap, vous bénéficiez d’un joli document PDF et d’une adresse mail. Si toutefois, pour plus de sécurité, vous souhaitez utiliser la RFC 1149 pour répondre à cette consultation, vous êtes priés d’envoyer votre pigeon à l’adresse suivante :

Direction générale de la compétitivité de l’industrie et des services – STIC/SDRU
Le Bervil
12 rue Villiot – 75012 Paris Cedex 12


A quand un délit de non sécurisation de site web pour l’Etat français ?

Assez régulièrement, je me balade sur le net à la recherche de choses rigolotes, ce qu’on appelle communément des boulettes d’admin sur les site web de l’Etat… Ministère, armée, préfectures … sportdenatureil y en a pour tous les goûts. J’observe ce genre de choses depuis 7 ou 8 ans, et plus le temps passe, plus on voit des choses hallucinantes… comme celle ci… une boulette made in Coldfusion, le tout hosté sur du Windows, l’admin à l’air … pour un peu on penserait à un Honeypot.
Comprenons nous, je ne vais pas ici m’amuser à divulguer des urls sensibles, toutes accessibles depuis une recherche dans Google, celle ci étant l’une des plus « montrables ». Mais à l’heure où on nous parle de défaut de sécurisation de ligne Internet pour les particuliers, je commence à m’agacer sérieusement de voir que l’argent public part dans des solutions propriétaires que les admins ou les prestataires externes ne savent même pas configurer correctement !
… et un jour, des hackers chinois ….

Pascal Nègre : chevalier de la Légion d’Honneur … et pourquoi pas Ministre de l’économie Numérique ?

logo_univers_saleLa France devient une république bananière dans laquelle les « faits du prince » ne cessent de se multiplier. Mais pour qui sait lire entre les lignes, tout ceci ne trompe personne. Vous aurez droit dans ce billet non pas à une mais à deux informations (et oui ici aussi c’est les soldes).
Pascal Nègre promu chevalier de la légion d’honneur
Pascal Nègre est le principal artisan de la riposte graduée, un projet de loi liberticide qui repose sur des mensonges éhontés et des inexactitudes techniques ridicules et consternantes à un tel niveau. C’est ce même Pascal Nègre qui avait déjà tenté une première incursion stupide sur le Net avec un site web plein de flashouilles destiné à TUER les distributeurs… manque de bol, Pascal n’avait à l’époque pas compris que les internautes n’achèteraient jamais de musique sur un site web où seul le catalogue d’Universal Music est disponible alors que TOUS les catalogues sont présents sur les réseaux p2p..
Pascal s’est aussi mis à penser que le téléchargement d’œuvres copyrightées allait cesser avec la fermeture de NAPSTER. C’est là que Pascal a découvert la GPL, cette licence qui permet de diffuser le code source d’une application sans qu’une société ne puisse poser un brevet dessus. Tout ça l’avait mis très en colère et comme il officiait au SNEP (un ramassis d’improductifs qui ne sert qu’à ponctionner plus d’argent aux artistes) il s’était même juré de faire changer, ou interdire la licence GPL pour plus qu’aucun code source de logiciel P2P ne puisse être diffusé. Heureusement pour nous, Pascal, un peu benêt, n’avait pas compris que le logiciel libre était reconnu patrimoine mondial de l’humanité, et qu’il fallait plus lourd que le SNEP pour le faire tomber.
Il fallait bien remettre à Pascal une distinction pour avoir :

  • appauvri encore plus les artistes en créant de toutes pièces des verrous pour les « protéger » et surtout pour croquer une plus grosse part de la galette en leur laissant des miettes ;
  • claironné que tout ça c’était de la faute des pirates de l’internet et d’avoir réussi à convaincre Christine Albanel qui depuis n’a de cesse de se ridiculiser en public en utilisant des mots qu’elle ne comprend même pas comme « adresse ip » ;
  • réussi pendant ses multiples mandats à ne pas avancer d’un poil sur une offre légale qui est devenu une arlésienne et dont l’industrie du disque ne veut pas elle même
  • inventé la staracademy et trouver un moyen d’évincer un peu plus les auteurs compositeurs interprètes qui ne laissent pas assez de marges au reste de la chaîne de l’industrie du disque : il est bien plus rentable de prendre un ou deux gogoles qu’on rentabilisera avec des pages de pubs pendant l’émission… « laissons le public faire notre travail, comme ça c’est sur, on en vendra des disques »
  • réussi à imposer les DRM avant de faire marche arrière : oui Pascal, on t’avait prévenu !

… tout ça méritait bien une légion d’honneur non ?

Et voici une seconde info … si, si, je vous assure il y a une subtile corrélation :

Eric Besson devrait quitter son poste à l’économie numérique

Mais qui va le remplacer ? Bon d’accord, il a n’a rien fait, rien du tout ! A peine un effet d’annonce sur le plan Numérique 2012 … ridicule. Rien sur les dossiers de la fibre optique ou de l’Hadopi qui pourtant impactent, eux, l’ensemble de l’économie numérique française, là dessus on en est au point mort et on s’apprête mettre en place une loi dont le caractère illégal est reconnu par le parlement européen… Rien que pour ça Eric mérite bien sa légion d’honneur lui aussi non ?
Plus sérieusement … ahahahah … oops pardon, pour remplacer Eric, on commence à murmurer le nom que tout les internautes devraient redouter tant ce type est capable de plonger l’internet français dans une ère pré-minitel 1.0 : Frédéric Lefèvbre. Et … comment vous dire ça sans être vulgaire ?

Acte 1 : Frédéric est un lobbyiste dont les clients sont des industriels du tabac, de l’alcool et pleins d’autres choses que la morale réprouve (il ne serait d’ailleurs pas étonnant que Mr Lefèbvre ai dans ses clients une ou deux majors du disque). Actionnaire majoritaire de PIC Conseil, son entourage nie pourtant avoir eu vent de ses activités de lobbyiste … mais qui peut croire à ça ?


Acte 2 : Frédéric est le Chuck Norris de l’Internet, d’ailleurs l’Internet, il le connait vachement bien le Net, à l’écouter raconter sa vie à l’Assemblée Nationale où même les crétins ont le droit de citer :

« J’ai commencé à communiquer sur Internet avant même la création de Wanadoo, parce que mon frère qui vit aux États-Unis en est l’un des pionniers.(…) Il y a plus de dix ans, j’ai passé quelques bouts de nuits à ses côtés dans certaines caves du 18e arrondissement (…)

« L’absence de régulation du Net provoque chaque jour des victimes ! Combien faudra-t-il de jeunes filles violées pour que les autorités réagissent ? Combien faudra-t-il de morts suite à l’absorption de faux médicaments ? Combien faudra-t-il d’adolescents manipulés ? Combien faudra-t-il de bombes artisanales explosant aux quatre coins du monde ? Combien faudra-t-il de créateurs ruinés par le pillage de leurs œuvres ? Il est temps, mes chers collègues, que se réunisse un G20 du Net qui décide de réguler ce mode de communication moderne envahi par toutes les mafias du monde. […] La mafia s’est toujours développée là ou l’État était absent ; de même, les trafiquants d’armes, de médicaments ou d’objets volés et les proxénètes ont trouvé refuge sur Internet, et les psychopathes, les violeurs, les racistes et les voleurs y ont fait leur nid. »

Acte 3 : enfin … c’était le Chuck Norris de l’Internet jusqu’à la version 1.9

Conclusion :

Pour un poste à l’Economie Numérique, qui choisiriez vous entre

– un Lobbyiste fascisant un peu crétin et qui aime bien se la péter devant les députés

et

– un patron de maison de disque pleurnichard (peut être client du premier) qui n’a toujours pas compris comment fonctionne Internet et qui se bat contre la notion même d’échange et de partage et surtout … qui n’a rien réussi en 15 ans ?

Personnellement je vote pour Pascal car même si l’HADOPI était appliquée un jour, il trouverait un moyen de la saborder lui même.

… et vous ?