HADOPI : DDoS annoncé pour accueillir Hadopi.fr

/b/Cette fois ça y’est, le site de la HADOPI devrait ouvrir ses portes  dés demain… et la riposte pas franchement graduée est en train de s’organiser sur les boards. Un appel on ne peut plus explicite au Raid a été lancé. C’était bien prévisible, Read Write Web avait même parlé de cette escalade très récemment. Selon les information de PcInpact, c’est Extelia qui pourrait bien déguster du /b/ (j’ai presque l’envie de vous dire qu’il s’agirait d’une réponse du berger à la bergère, mais mes propos pourraient être mal interprétés).  L’appel aux armes lancé sur 4chan et déjà largement relayé porte les couleurs des Anonymous. En anglais, il atteste que le conflit est en train de s’internationaliser, et ça c’est une très mauvaise nouvelle pour les ayants droit.

Personnellement, je suis très réservé sur le bien fondé de ce raid…. Je comprends bien que ça nous démange tous, mais à l’heure actuelle ceci ne ferait que nous porter préjudice. Ce qui me dérange sur ce coup, c’est que j’ai l’impression qu’on se trompe de cible. Ce sont les ayants droit qui sont la cause du bridage de l’Internet, la HADOPI est une émanation de leur lobbying et ce serait donner ici à l’Autorité un argument de plus pour clore tout dialogue et de se lancer dans une application aussi stricte qu’absurde de la loi.

… et sarcastiquement, on pourrait aussi vous renvoyer que la bande passante cramée pour ce DDoS est sponsorisée par vos impôts.

HADOPI : 800 gagnants pour le premier tirage… combien au grattage ?

mailAujourd’hui, la Haute Autorité a communiqué une liste de 800 adresses IP pour identification en vue des premiers envois de mails. Ce sont donc 800 foyers qui devraient prochainement recevoir (ou pas) les premiers mails certifiés conformes (ou pas) de la HADOPI. Contrairement à ce que beaucoup prédisaient (moi le premier), le taux de faux positifs sur les premiers envois devrait être minime. On m’a assuré que les ip « flashées » avaient fait l’objet d’une attention toute particulière, et on comprend pourquoi : d’importants couacs sur les premiers heureux gagnants seraient un mauvais, un très mauvais signal. Tout a donc été fait pour minimiser la part d’aléas inéluctables.

Là où ça coince :

  • Toujours pas l’ombre d’un début de piste de procédure formelle de contestation en cas d’erreur ;
  • Toujours pas l’ombre d’un début de négociation avec les ayants droit pour une offre légale ;
  • Toujours pas l’ombre d’une définition de la connexion internet que l’on est sensé sécuriser ;
  • Toujours pas l’ombre d’une solution miracle de sécurisation ;
  • Toujours pas l’ombre d’une garantie quelconque contre une sanction injuste ;
  • Toujours pas l’ombre d’une preuve que les soit disant pirates se sont enrichis en téléchargeant René la Taupe ;
  • Toujours pas d’obligation légale faite à mon FAI chéri d’arrêter de livrer ses points d’accès avec du Wep activé par défaut.

… vu d’ici, on dirait presque que la charrue ait été placée avant les boeufs et on s’oriente plus vers une réponse dégradée à un problème non mesuré, que vers une riposte graduée.

Notez qu’on se fiche bien de savoir si vous avez téléchargé un MP3 d’Enrico Macias et êtes devenu le 18e internaute à ainsi contribuer à sa ruine, ce qu’on sanctionne ici c’est une négligence caractérisée. Non pas que vous ayez téléchargé ce MP3 par inadvertance en tentant de vous procurer une ouverture de Bach passée dans le domaine public, mais bien que vous êtres trop crétin pour savoir qu’un flaw dans TKIP permet un Man in the Middle… sombre crétin que vous êtes, je vous l’avais pourtant expliqué ici !

Mais tout ceci reste un déroulement logique dans le calendrier de la mise en place des procédures induites par la loi, on ne peut donc s’en étonner. En revanche,  il va y avoir un risque important de voir certains fournisseurs d’accès Internet proposer leur Hadopipoware. Au menu je vous prédis :

Les risques sont bien réels , on a déjà vu ce que ceci pouvait donner et franchement, ceci n’est pas fait pour rassurer. Il faut espérer que la Haute Autorité mette un point d’honneur à prendre des distances avec ce qui représente une véritable menace pour tous, tant sur le plan des libertés individuelles que sur le plan de la sécurité. C’est donc maintenant, plus que jamais, qu’il va falloir observer les ayants droit qui nous promettent du DPI, les fournisseurs d’accès qui se verraient bien le vendre, et les équipementiers qui vont nous sortir leurs solutions miracles dans peu de temps.

3615 Militello Show

gagadopiVous vous souvenez peut être de Muriel Marland Militello qui expliquait que ce n’était pas les internautes qui comptaient dans une démocratie mais les concitoyens (toi l’internaute qui me lit, tu es un citoyen en carton), ou encore de ses prestations dans l’hémicycle pendant les débats sur HADOPI… moi, anéfé, je me souviens parfaitement d’une incompétence crasse d’un élu en service commandé qui soutenait des positions martiennes argumentées par un néant abyssal. Ses précieux avis font d’HADOPI un texte inapplicable … et inappliqué… Madame Militello n’en est pourtant pas peu fière, et passer de la protection des animaux à Internet semble vécu par la député comme une promotion naturelle et bien méritée (il est acquis qu’Internet étant peuplé de zoophiles, il ne s’agit là que d’une extension de son combat au numérique).

Dans sa dernière sortie, Muriel Marland Militello s’en prend au référé de FDN devant le Conseil d’État que je vous laisse découvrir ici. Je vous invite à le mettre en perspective de ce splendide billet, qui aussi inconsistant soit-il, a le mérite de mettre en exergue, une fois de plus le décalage qui existe entre les promesses d’un texte vide : « on va sauver les artistes », et la réalité « on chouchoute la SCPP et quelques organismes parasites… et on laisse crever les artistes». J’aimerais sincèrement, madame le député, que vous m’expliquiez comment votre oeuvre sauve les artistes que les pirates flagellent à coup de modem, à en croire l’illustration de votre magnifique billet. Tous les artistes que je connais n’attendent rien de votre texte. Pouvez vous donc nous développer ce que vous soutenez avoir à leur offrir ?

Vous noterez que j’ai eu la courtoisie d’attendre vendredi pour répondre à ce billet, je ne troll que ce jour là. L’ami Spyou a d’ailleurs su réagir plus vite, de mon côté, j’ai du me résoudre à me calmer un peu avant d’écrire ce billet, tant il est compliqué de ne pas répondre à la bêtise par la bêtise

En voiture Muriel !

Madame Marland Militello commence dans son billet par nous rappeler que sa grande expertise d’Internet et du numérique lui a valu le poste de « rapporteure pour avis » sur la loi HADOPI (un peu comme si on m’avait nommé hier chirurgien). Certains y verront l’une des raisons de l’inapplicabilité de ce texte, je me contenterai ici de souligner sa chance car l’avis des gens qui y connaissent quelque chose n’a, lui, jamais été pris en compte.

Dans un Etat de droit… où on fait tout de travers

J’aime beaucoup le couplet de madame le député sur l’État de droit qu’elle a visiblement un peu compris de travers, où elle assimile la protection de la propriété intellectuelle à un concept effrayant, le « cleanternet»…  Je le retourne sous tous les sens… rien à faire, je ne comprends pas comment madame Militello arrive à la conclusion qu’HADOPI (allez je vous le redis encore une fois pour que ça rentre… toujours inappliquée et inapplicable) « contribue à développer un Internet civilisé, respectueux des libertés et des droits et devoirs de chacun ». N’oubliez pas que pour que tout ce petit monde soit civilisé, ça passe forcément par restreindre la liberté de la presse. A ce jour, outre un climat délétère que madame Militello aime à entretenir, HADOPI contribue surtout à enrichir des marchands d’octets au kilo.

Madame le député, il y a ici deux choses particulièrement choquantes dans cette petite éructation de pixels bien peu inspirée :

  • vous entérinez le fait qu’HADOPI est un dispositif de surveillance visant à rendre une jungle civilisée (vous avez du confondre avec la LOPPSI, HADOPI n’est qu’une coûteuse machine à spam… qui n’a toujours pas envoyé un seul mail). Vous offrez là une caricature parfaite qui colle à une certaine classe d’élus et qui est la principale raison de l’échec qui vous attend sur ce dossier.
  • vous affirmez ensuite, qu’HADOPI contribue au développement de l’offre légale… vous avez du louper l’épisode Jiwa, soit, mais j’aimerai vraiment ici que vous me citiez UNE SEULE mesure visant à développer l’offre légale dans HADOPI… on ne doit vraiment pas vivre sur la même planète, ou alors c’est que nous n’avons pas le même texte sous les yeux.

C’était là vos deux seuls arguments, c’est franchement léger pour une personne qui se gargarise ainsi d’avoir contribué à sauver la « création sur Internet » si je me fie au titre de la rubrique dans laquelle se trouve votre chef d’oeuvre.

Mais pourquoi ce billet ?

En se réjouissant de la sorte, la député Militello se rappelle aussi au bon souvenir du Président de la République pour lui signifier qu’elle a été un bon soldat… je pense que le message est passé pas de problème là dessus… enfin pas de problème s’il y avait une seule once d’argumentation, une seule référence valide… pour infirmer un FAIT : HADOPI favorise le commerce illicite d’oeuvres culturelles sur le dos des artistes :

  • En enrichissant Megaupload, Rapidshare etc …
  • Si vous preniez le métro vous découvriez même que grâce à HADOPI, on peut s’y offrir toutes les dernières productions hollywoodiennes en Divx pour un coût dérisoire (au moins ça permet à quelques personnes de vivre…. mais surement pas les artistes).

Bravo madame Militello d’avoir tué l’échange de fichiers sur les réseaux P2P pour encourager une économie criminelle, nous n’y serions pas parvenu sans vous.

La moindre des choses quand on lance ce genre de billet d’humeur est de l’argumenter un minimum pour qu’il ne soit pas perçu comme une stupide provocation totalement inutile. Enfin, se réjouir d’une conclusion affirmant l’inutilité de consulter l’ARCEP est ici encore d’une grande maladresse, je doute que le gendarme des télécoms apprécie ces gargarismes.

HADOPI : tu sécurises ou tu fliques ?

Au détour d’un commentaire lu sur Numérama en référence à l’amalgame volontairement fait dans ce billet entre la « sécurisation d’une connexion Internet » et la « sécurisation d’un site web », j’ai pu me rendre compte de l’efficacité de la propagande menées par le Ministère de la Culture… ils ont réussi à mettre un sacré bazar dans nos cerveaux. Je me suis donc essayé à un petit exemple fictif pour illustrer un fait : le dispositif prévu dans le texte de loi n’est pas fait pour sécuriser, mais bien pour fliquer.

Je vais donc reprendre ici cet exemple, une fiction pour le moment mais je suis prêt à vous parier que si le texte était en l’état appliqué au pied de la lettre, la réalité pourrait même dépasser la fiction. C’est l’une des raisons pour lesquelles j’expliquais l’année dernière sur TechToc.tv que nous avions déjà gagné et qu’HADOPI telle que nous la connaissons ne sera probablement jamais appliquée car comme le dit l’adage : à l’impossible nul n’est tenu. Et l’impossible, c’est justement sécuriser une connexion Internet, ce qu’on essaye de nous faire passer pour une obligation légale. Maître Capello ? Pas mieux que trois lettres ? L.O.L.

Voici le commentaire qui a motivé ma réponse :

« C’est quoi le rapport entre la non-sécurisation de sites Internet et la sécurisation de la ligne d’un abonné à Internet pour empêcher les téléchargements illégaux ?
Ah oui, il y a le mot « sécurisation » dans les deux parties de la phrase. Donc de manière simpliste, on fait un raccourci : du moment qu’ils ne sécurisent pas leurs sites, alors ils ne peuvent pas nous demander de sécuriser nos lignes. Alors que les techniques, les moyens et les enjeux n’ont strictement rien à voir.
Bien évidemment qu’une base SQL non protégée sur un site gouvernemental, ce n’est pas très sérieux. Mais quel est le rapport avec Hadopi et ses dispositions législatives ? Ce n’est pas parce qu’ils sont en faute que cela vous dédouanne d’appliquer la loi ! »

Notez que ce n’est pas le seul de ce cru, j’ai même pu en lire sur Read Write Web ou d’autres sites, ce qui justifie à mon sens une explication dont le but sera de dépoussiérer quelques notions et faire un peu le ménage dans les idées stupides que notre bon législateur a tenté de vous mettre dans le crâne (et il y est dans de nombreux cas parvenu).

Les faits

  • La loi Création et Internet mentionne une contravention pour non sécurisation d’une connexion Internet, sans pour autant définir le périmètre précis (essayez vous au Quizz, vous allez vite comprendre que juridiquement nous sommes là en face d’un concept particulièrement fumeux).
  • Pour que les données d’un serveur web soient accessibles il faut ? … une connexion Internet.
  • Pour qu’une machine se fasse compromettre, généralement, sur le Net, il faut … une connexion Internet et une vulnérabilité exploitable à distance (allant de l’utilisateur lui même qui ira cliquer sur un « i love you.exe jusqu’à une faille kernel… et entre ces deux extrêmes… il n’y a pas de limites.
  • C’est justement parce qu’entre ces deux extrêmes les limites n’existent pas, qu’AUCUNE solution logicielle de sécurisation au monde ne protègera jamais les utilisateurs de l’intégralité des risques liés à la nature du réseau… et à la nature du cerveau humain. Affirmer le contraire serait une bêtise.

La fiction

Une entreprise x dispose d’un extranet, son robots.txt indique un répertoire sensé être protégé qui ne l’est pas (au pif avec un beau .sh qui affiche en clair le mot de passe de la base de données Oracle du dit extranet). Un pirate y accède et pénètre l’extranet de l’entreprise, par escalation de privilèges ou en dumpant la base de données, il en prend le contôle de tout le réseau local de l’entreprise. Pour ce faire, rien de plus simple, avec un petit coup de dsniff, il s’empare de tous les mails du serveur de mail Exchange (assez pratique pour se faire renvoyer les passwords non ?), il a tous les mots de passe, tous les accès… voici un scénario malheureusement dramatiquement réaliste d’une compromission.

Puis, il se trouve que l’entreprise en question a une super bande pasante, du 100megas symétriques. Le pirate decide donc de se servir du NAS pour se faire sa médiathèque en ligne qu’il consulte en streaming via un flux chiffré sur un port non standard. Pour télécharger, il s’installe un client torrent en mode console, bien planqué là ou personne ne va jamais fouiller … dans le /opt par exemple.
La HADOPI envoie un mail que l’entreprise ne reçoit pas car elle ne le lit jamais, d’ailleurs, dans l’entreprise, personne ne sait si ce mail existe (le mail d’inscription utilisé pour ouvrir la connexion Internet chez le fournisseur d’accès).

A la réception du courrier recommandé (l’étape 2 de la procédure super pédagogique prévue par le texte), l’entreprise débusque le pirate sur son réseau mais n’a pas compris par ou il est arrivé. Elle supprime donc l’utilisateur ou change le mot de passe du compte utilisé par le pirate. Mais, souvenez vous, comme le pirate a dumpé la base de données et qu’il a récupéré des centaines de mots de passe en sniffant le réseau local de l’entreprise… et que l’entreprise n’a pas changé TOUS les passwords, notre pirate, pas décidé à abandonner sa connexion très haut débit depuis le fin fond de la Lozère, revient… puis un jour, après plusieurs incursions, un recommandé, et 3 audits internes (il faut pas que ça s’ébruite ce genre de choses vous comprenez, ça affolerait les clients de notre entreprise), l’entreprise se retrouve déconnectée du net.

Même l’Hadopipohardware, le Firewall Zyxel, acheté par l’entreprise et qui promettait une protection idéale contre HADOPI en filtrant les applications de peer to peer n’a rien vu venir.

Tout le système d’information de l’entreprise est donc rendu inaccessible depuis l’extérieur et ses salariés sans connexion dans les locaux se retrouvent au chômage technique.

Comme une circulaire de la chancellerie indique que tout cas un peu compliqué ne devra surtout pas être envoyé devant un tribunal… et que même si c’était possible la connexion est déjà coupée.. et que l’entreprise n’a pas le droit de souscrire à une autre offre… l’entreprise ferme ses portes et fait faillite incapable d’honorer une communication basique avec ses clients. Il reste le télétravail et peut être aller faire les rendez-vous clients au Mc Donald du coin.

Que nous apprend cette petite histoire ?

Il s’agit d’un constat évident, que malheureusement trop peu de personnes semblent avoir assimilé :

  • La sécurité ce n’est pas un produit mais ensemble de processus
  • HADOPI propose l’élaboration de solutions de « sécurité » dont la fonction n’est pas de prévenir de risques d’intrusion externes mais bien de fliquer des usages internes… ce qui inéluctablement conduit à un risque sécuritaire, c’est à dire, tout le contraire de ce qu’on tente de vous vendre.

Pour vous faire passer des vessies pour des lanternes, notez qu’il aura fallu :

  • 577 gus dans un hémicycle (en théorie), beaucoup moins en pratique
  • 2 HADOPI
  • un recallage au Conseil Constitutionnel
  • un site web de propagande à 80 000 euros pour 1 mois d’uptime (jaimelesartistes.fr)
  • la machine à spam la plus chère du monde…

… j’ai donc encore beaucoup de route à parcourir pour expliquer ça à qui veut l’entendre, je n’ai pas les mêmes moyens que ceux déployés par l’Etat, mais aidé par quelques gus, nous devenons tous des créateurs de possible… non ?

Le scandale des sites gouvernementaux qui se négligent

white hat hacking

Vous m’avez, moi comme d’autres, souvent entendu pester sur le stupide délit de négligence caractérisée et l’obligation légale faite à l’internaute de sécuriser une belle abstraction légale : « la connexion Internet». Comme sur Internet plus qu’ailleurs, niveau sécurité, les conseilleurs sont rarement les payeurs, nous avons décidé, avec Paul Da Silva et Paul Rascagneres (RootBSD), d’aller jeter un oeil sur le pas de la porte des conseilleurs… comme on s’en doutait : c’est moche. Nous pourrions vous dire que nous avons été surpris… mais soyons sérieux, nous ne l’avons pas été le moins du monde.

Dans le titre, comme vous le constatez, j’emploie le terme un peu fort de scandale. Je vous dois une explication là dessus. Avoir un site web qui comporte des trous de sécurité, ce n’est pas une honte, ça arrive à tous, on sait qu’une faille 0day (même si les 0day sont dans les faits très rarement exploités) peut suffire à compromettre une machine, puis par effet de rebond, tout un système d’information, puis plusieurs. Il suffit d’exploiter les informations collectées à un endroit pour se retrouver résident d’un système. Le vrai scandale, c’est quand un prestataire alerte d’une faille importante et que les personnes en charge d’un  site web gouvernemental qui exposent des données personnelles de fonctionnaires refusent à ces prestataires , depuis des mois, des années, l’intervention nécessaire à la correction de cette vulnérabilité… pas vu pas pris…

Ce que le texte d’HADOPI appelle pudiquement le manque de diligence à sécuriser son accès doit il être appliqué aux internautes ? En ce qui nous concerne, nous avons la conviction qu’il est bien plus grave qu’un site gouvernemental « manque de diligence » à fixer des trous de sécurité qui par escalation de privilèges peuvent mettre en péril certaines infrastructures sensibles de l’État… et d’aller crier à la presse que nous sommes la cible de hackers chinois

Il faut donc que cette hypocrisie cesse au plus vite, ou que des garanties sérieuses soient données aux particuliers pour être en mesure de se défendre. Si cette absurde circulaire de la chancellerie était appliquée, à ce jour nous pourrions très bien faire déconnecter ou bloquer  un site gouvernemental (à quand le blocage des sites sauce Loppsi pour lutter contre les pirates ?) en y uploadant quelques mp3 et quelques divx… comme ça, juste pour rigoler.

Puisque l’Elysée ne semble pas convaincu de la nécessité de se référer à des experts avant d’orienter une législation vers une bourde certaine, nous allons concourir à l’y encourager un peu.

Rentrons dans le vif du sujet

Nous découvrions récemment avec surprise que le gouvernement, qui avec la loi Hadopi instaure le délit de négligence caractérisée, n’était pas mieux logé que les autres – bien au contraire. Le délit de négligence caractérisée vise à punir celui qui, par manque de compétences techniques notamment, ne « sécurise » pas son accès à internet si celui-ci venait à être utilisé à des fins de piratage (au sens de contrefaçon… il est important de le préciser vu que même le terme de piratage est ici sujet à caution). Une belle hypocrisie quand on sait que le niveau technique requis pour sécuriser ce qui est en mesure de l’être par un abonné final est très élevé et que, même comme cela, il est toujours possible d’usurper l’identité d’un abonné pour le faire paraître coupable (avec cette fois un niveau de compétences très relatif).

Nous (RootBSD, Bluetouff et Paul) avons décidé d’élever le débat et de vérifier si l’Etat lui même applique à son parc de sites internet les mêmes recommandations que celles qu’il souhaite voir ses concitoyens adopter.

A l’attaque !

Pour ce faire la méthode a été très simple : quelques minutes par site, des recherches de failles très basiques et à la portée de n’importe quel pirate en herbe… Occasionnellement des découvertes de documents dans des répertoires accessibles à tous et, si d’aventure on venait à tomber sur une faille un peu plus sérieuse (oui c’est le cas) passer un peu plus de temps dessus pour essayer de la faire parler. Tout l’art étant de la faire parler sans l’exploiter afin de ne pas se rendre coupable d’intrusion.

Le résultat est au delà de ce que l’on aurait pu imaginer en lançant, le 29 août vers 23h, ce capture the flag d’une envergure sans précédent (3 gus dans un garage) qui se finira le 30 août aux alentours de la même heure… Nous avons décidé de patienter jusque là pour publier ce billet mais l’actualité nous a enfin convaincu à vous livrer les résultats de nos travaux nocturnes.

Comme dit précédemment nous nous sommes concentrés sur des failles simples à trouver ou à exploiter et la liste de celles découvertes est assez évocatrice :
  • Une vingtaine de XSS ;
  • 2 LFI ;
  • Des dizaines de documents accessibles au publics et qui ne devraient pas l’être (certains marqués « confidentiel ») ;
  • Des authentifications défaillante (ou inexistantes !) d’accès à des intranets ;
  • Un grand nombre de fichiers robots.txt qui ont bien orienté nos recherches (merci 🙂 ) ;
  • Des accès aux zones d’administration / phpmyadmin comme s’il en pleuvait ;
  • Des CMS non mis à jour depuis plusieurs années ! Et présentant des vulnérabilités bien connues ;
  • Des logs d’envois de mails / newsletter / de connexion FTP / …
  • Un site en debug qui laisse, si l’on saisit la bonne url, voir les identifiants et mot de passe de connexion à la base de données ;
  • Un script SQL de génération de base de données.
Le XSS ?

Le XSS (Cross Site Scripting) est une faille qui permet de faire exécuter un script arbitraire (initialement non prévu par le site sur lequel on va le faire exécuter) en changeant certains paramètres de l’URL.
Il peut permettre de voler des identifiants de session ou des cookies si il est suffisamment bien utilisé et que ladite URL est envoyée à une personne connectée. Il permet aussi de transformer l’affichage du site pour afficher, par exemple, des formulaires invitant à la saisie de données personnelles qui seront ensuite transmises à un autre site. Pour finir il est egalement possible via du javascript executé sur le navigateur de récupérer des informations personnelles (historique, geolocalisation, …) mais également de récupérer des informations sur le reseau auquel est connecté la personne (scan du reseau,…).

Le LFI ?

Le LFI (Local File Inclusion) est une faille qui permet d’inclure un fichier présent sur le serveur dans la page en cours de visionnage. Ceci peut permettre par exemple de récupérer un fichier de configuration, des logs, certains fichiers confidentiels, … Dans certains cas de figure (nous l’avons vu lors de notre exercice) il est possible d’exécuter du code (php) et donc d’avoir un accès distant sur le serveur vulnérable. Cet accès peut permettre de voir des fichiers, d’en éditer (pages web,…), de lancer des programmes, de rebondir vers d’autres serveurs, télécharger des fichiers (illégaux ?)…
Pour l’exploiter il faudra spécifier le chemin du fichier à récupérer dans l’URL mais ceci est relativement simple à faire lorsque le serveur qui héberge le site en question autorise le listing des répertoires ou l’affichage d’erreurs comme c’est le cas sur presque tous les sites que nous avons visité.

La liste !

Pour des raisons évidentes (on préfère le confort de notre garage) nous ne pouvons pas diffuser les failles trouvées, nous allons en revanche vous lister publiquement tous les sites qui présentent ces vulnérabilités. Nous vous livrons cependant quelques éléments – les moins graves ou deja corriges – découverts pendant cette chasse à la faille.
Une version non censurée de cette liste sera livrée aux autorités afin que ces dernières puissent faire suivre à qui de droit pour que ces failles soient corrigée, ainsi qu’à quelques journalistes si ces derniers s’engagent à ne pas diffuser ces failles tant qu’elles n’ont pas fait l’objet d’une correction.

Ce qui est montrable car corrigé :

  • Sur le site http://interactif.service-public.fr, une splendide Local File Inclusion permettait d’executer du code PHP depuis le site référent en lisant un peu les logs de sa propre connexion. En formattant une URL bien sentie comme celle ci. Il devenait par exemple possible d’obtenir le mot de passe de la base de données.Voici une capture d’un log Apache obtenu par local file inclusion

LFI Service Public
  • Nous avions également pu constater à cette période non moins splendide XSS dans l’application de recherche de l’Assemblée Nationale que l’on retrouvait d’ailleurs sur d’autres sites gouvernementaux dans sa version non patchée. Nous n’allons pas revenir là dessus, tout est ici.
Ce qui n’est pas montrable pas pour l’instant :
Nous avons identifié des vulnérabilités plus ou moins graves sur les sites suivants :

http://questionsfrequentes.service-public.fr/
http://www.stats.environnement.developpement-durable.gouv.fr/
http://www.csti.pm.gouv.fr/
http://www.somme.pref.gouv.fr/
http://questionsfrequentes.service-public.fr/
http://larecherche.service-public.fr/
http://ddaf18.agriculture.gouv.fr/
http://www.service-civique.gouv.fr/
http://www.immigration-professionnelle.gouv.fr/
http://www.prospective-numerique.gouv.fr/
http://forum.assemblee-nationale.fr/
http://agriculture.gouv.fr/
http://www.rhone-alpes.travail.gouv.fr/
http://www.cnml.gouv.fr/
http://www.projetsdeurope.gouv.fr/
https://www.adele.gouv.fr/
http://www.education.gouv.fr/
http://www.pollutionsindustrielles.ecologie.gouv.fr/
http://recherche.application.developpement-durable.gouv.fr/
http://www.projetsdeurope.gouv.fr/
http://www.cnml.gouv.fr/
http://www.premar-manche.gouv.fr/
http://recherche.application.equipement.gouv.fr/
http://www.coe.gouv.fr/
http://www.ofpra.gouv.fr/
https://admisource.gouv.fr/
http://www.datar.gouv.fr/
http://www.ira-lyon.gouv.fr/
http://www.droitsdesjeunes.gouv.fr/
http://sig.ville.gouv.fr/
http://www.telecom.gouv.fr/
http://www.hci.gouv.fr/
http://www.oncfs.gouv.fr/
http://www.cas.gouv.fr/
http://www.permisdeconduire.gouv.fr/
http://www.europe-en-france.gouv.fr/
http://www.fonction-publique.gouv.fr/
http://www.cete-nord-picardie.equipement.gouv.fr/
http://www.minefi.gouv.fr/
https://mioga.minefi.gouv.fr/


Qu’en déduire de l’applicabilité de la négligence caractérisée ?

Ce type de failles est très simple à exploiter, prévenir ou corriger. Cependant elles sont bien là, bien présentes, dans des institutions qui disposent d’une direction informatique et de moyens, là où le particulier est lui abandonné à son triste sort, condamné à faire confiance à une solution de « sécurisation », en fait un HADOPIPOWARE qui crée plus d’insécurité qu’elle n’en crée.

Dans ce contexte, il nous apparait injuste, voire hypocrite, de faire peser sur le particulier une présomption de culpabilité et de lui interdire d’office tout droit à un procès équitable alors qu’il est lui même victime d’une exposition de ses données personnelles.

Rappelons au passage qu’une institution, même publique, au même titre qu’une entreprise, a elle aussi un devoir de sécurisation des données personnelles de tiers qu’elle stocke. Nous avons ici pu constater que ce n’était pas tout à fait au point. Si la multitude d’entreprises qui a travaillé sur ces différents sites n’est pas capable de sécuriser son travail alors qu’il s’agit de leur métier comment peut-on demander à la boulangère du coin, au maçon du centre ville ou à n’importe quel non-expert en le domaine de faire mieux ?… Et pourtant, tout indique que les entreprises en question étaient bien au courrant de certaines de ces vulnérabilités, en fait, elles en auraient même avertis les administrations concernées qui ont semble t-il manqué de diligence à combler les trous. Nous tenons évidemment ces informations de la bouche de certains de ce prestataires, et nous croyons en leur bonne foi.

Certaines failles découvertes ici (en 24h est-il besoin de le préciser à nouveau ?) permettent de prendre le contrôle du serveur si elles sont exploitées correctement. Qu’arrivera-t-il quand un pirate moins bien intentionné que nous décidera d’en exploiter une pour prendre le contrôle d’un serveur loué par l’état et d’y lancer des téléchargements par exemple ? Un site web, quelques données personnelles, un ou deux mots de passe, et voici une banale histoire de système sensible compromis…

Les sites visités et les failles ici révélées, nous permettent de prendre la mesure de l’inadaptation de la réponse proposée par la loi Création et Internet. Les premiers envois de mails que l’on nous promet imminents interviennent alors qu’aucun dispositif des sécurisation labellisé par la HADOPI n’a pas encore vu le jour. Il est d’ailleurs probable qu’à moins de se compromettre dans une labellisation hasardeuse sur des dispositifs qui opèrent une surveillance mais ne sécurisent en rien une connexion, ce projet reste lettre morte.En attendant, la consultation de la Haute Autorité sur cette question a été prolongée jusqu’à fin octobre, il est important que les professionnels qui y répondront gardent en tête une chose :
  • Soit on spécifie un dispositif imaginaire qui patchera même les failles des applications des postes clients alors que les éditeurs de ces applications ne les patchent pas eux mêmes.
  • Soit on spécifie un mouchard avec toutes les conséquences en terme de sécurité et de viol de vie privée que ceci implique.

… messieurs, vous êtes maintenant face à vos responsabilités. Soit nous poursuivons une stupide course à l’armement que l’État ne peut gagner, soit les autorités, les hackers et les politiques se mettent autour d’une table pour entamer un dialogue sérieux et éclairé.

Par 3 gus dans un garage
Paul Da Silva
Paul Rascagneres (aka RootBSD)
Olivier Laurelli (Bluetouff)

DRM : on confine toujours à l’absurde

Les DRM ou Digital Right Management sont un échec assez emblématique de la politique de fermeture par les constructeurs au nom du copyright des contenus dématérialisables. Les DRM sont arrivés dans notre corpus législatif par le biais de la loi DADVSI (elle-même issue d’une transposition d’une directive européenne, l’EUCD) qui sanctionnait jusqu’à 6 mois de prison et 30 000 euros d’amende toute personne diffusant ou facilitant la diffusion d’un logiciel destiné à casser ces mesures techniques de protection de médias. Décriés depuis le début, ils ont été en grande partie responsables de l’accélération du déclin du disque en France puisque de nombreux acheteurs de disques se retrouvaient frustrés de ne pouvoir lire ce CD dans leur voiture ou sur leur ordinateur pour le mettre dans leur baladeur MP3… une véritable invitation au téléchargement illicite.

Ici l’usage justifiait le contournement de ces mesures de protection pour pouvoir disposer d’un bien pourtant légalement acheté. Ainsi, il devenait souvent plus aisé de télécharger les MP3 sur les réseaux peer to peer que s’amuser à tenter de contourner une mesure technique de protection.

Pendant les débats sur la HADOPI, de nombreuses voix se sont faites entendre pour que, comme promis par le gouvernement de l’époque, une étude d’inpact du DADVSI soit publiée. Réponse du gouvernement « l’heure n’est plus à ça, passons à autre chose« . Si j’étais mauvaise langue, je dirais que cette étude nous aurait peut être permis de faire l’économie d’une mauvaise HADOPI.

Aux USA, les DRM sont aussi allègrement contournés. Fin juillet dernier, un tribunal américain légalisait même le jailbreak de l’iPhone, c’est à dire le contournement de ses mesures de protection pour en prendre le contrôle.

Aujourd’hui la justice américaine s’apprête à publier une liste de protections pouvant être légalement contournées. Un son de cloche très différemment perceptible de la part des négociateurs de l’ACTA qui plaident pour la généralisation de ces mêmes DRM entre d’autres frictions avec l’Union Européenne..

Peut-on dire pour autant que ceci sonne le glas du DRM ? Malheureusement non, et je prédis qu’en France certains ayants-droit ne sont pas prêts d’en démordre, ils nous resserviront du DRM en complément d’autres mesures absurdes et coûteuses du même cru avec un résultat toujours aussi nul sur la création.

SOS-HADOPI : lancement à la Cantine le 13 Septembre 2010

sos hadopi
SOS Hadopi

C’est le 13 septembre prochain que se tiendra le lancement de SOS HADOPI à la Cantine à Paris. Ce service proposé par le groupe APIADOPI et porté par Renaud Veeckman, Jérôme Bourreau-Guggenheim et Christophe Berhault. Il vise à apporter une aide technico juridique aux personnes qui seraient victimes d’une coupure de connexion par le biais de ce dispositif .

SOS HADOPI n’est pas encore lancé qu’il s’attire de son côté les foudres de la Haute Autorité qui condamne l’initiative. On pourra lui porter le crédit que cette dernière, n’ayant pas commencé son travail, ni présenté son label de sécurisation décrié par SOS HADOPI et qualifié de mouchard, on reste dans pour le moment dans le procès d’intention… On les attend de pied ferme ces spécifications…. Rappelons enfin que Renaud Veckman a eu la bonne idée de déposer la marque HADOPI avant que l’État ne s’en préoccupe et que nous saurons, le 19 novembre prochain si l’utilisation du terme HADOPI peut lui être accordé étant le titulaire légitime de cette marque et disposant de la jouissance de son utilisation pour un champs d’action déterminé.

Le projet semble assez intéressant pour qu’il justifie votre présence à sa présentation à la Cantine le 13 Ssptembre 2010 de 14h00 à 16h30.

HADOPI : Communiqué d’Éric Walter

justice Hadopi

Eric Walter, secrétaire général de la HADOPi vient tout juste d’émettre un communiqué annoncé peu avant via Twitter.

Il n’y annonce pas les premiers envois de mail tant attendus. Il était question dans ce communiqué de SOS Hadopi (que vous pouvez pour le moment suivre sur Twitter mais dont l’annonce de l’arrivée imminente du site a déjà pas mal fait buzzé), un service lancé par Renaud Veeckman, Christophe Berhault et Jérôme Bourreau-Guggenheim. La HADOPI condamne fermement ce service qu’elle taxe de commercial. SOS Hadopi entend devenir un « service d’assistance technique et juridique […] face au délit de négligence caractérisée« . La haute autorité de son côté « met en garde les usagers contre de tels abus« . Personnellement, j’aurais apprécié une réaction identique  de la Haute Autorité devant le Failware d’Orange qui a fait rire dans le monde entier.

Tous semble bien huilé, sauif qu’il y a non pas un mais deux grains de sable :

Premier grain de sable

Renaud Veeckman a déposé la marque HADOPI avant que l’Etat ne s’en inquiète. L’affaire passera devant les tribunaux mais il serait surprenant qu’on lui en confisque l’intégralité des usages possibles malgré son antériorité faisant foi en droit des marques. Comme la HADOPI n’existait pas au moment du dépôt, on pourra difficilement plaider un trouble à l’ordre public justifiant une confiscation de la jouissance de la marque;

Second grain de sable

Depuis hier, on en sait un peu plus comment va se passer la procédure sur le terrain et surtout les suites judiciaires que l’on souhaite à tout prix éviter en cas de contestation pour laquelle il faudra jouer de pièces à convictions inaccessibles à un particulier (pour des raisons techniques ou de coût). Les experts en tout genre vont fleurir et se proposeront surement d’analyser vos trojans à la recherche de la preuve qui pourra vous disculper, ça vous coutera cher et il n’est même pas dit que les pièces soit jugées suffisantes (les difficultés d’interprétation de données informatique nécessitent un contexte pour être jugées pertinentes)… mais vous n’aviez qu’à mieux sécuriser votre ordinateur après tout. Dans ce contexte, si SOS Hadopi arrive à fédérer de vrais spécialistes, son entreprise toute commerciale soit elle trouve ici une certaine utilité.

Eric Walter, dans son communiqué souligne que la HADOPI a pour obligation légale de fournir un label pour des moyens de sécurisation. Mon ressenti est que cette labellisation est assez mal engagée et qu’elle finira par des recommandations aseptisées, même si la Haute Autorité promet que la consultation sur ce sujet délicat sera étendue. Les solutions de sécurisations n’arrêteront cependant pas le processus. Reste maintenant le dernier obstacle de la saisine du Conseil d’Etat par FDN à franchir pour que la Haute Autorité puisse travailler.

Hadopi : l’histoire de la circulaire qui circule

Numerama et PCInpact se sont fait l’écho d’une circulaire dont l’existence aurait été révélée par Sandrine Rouja (Juriscom / C-logeek). Ce document, en date du 6 août 2010 a le bon goût de répondre à une bonne partie des questions qu’on se posait sur le respect du droit à une justice équitable, l’inversion de la charge de la preuve ou du pouvoir que l’on donnait aux ayants-droit avec le petit problème de constitutionnalité que cela avait posé pour HADOPI 1. Contre toute attente, cette circulaire nous apporte une réponse claire : la supression des enquêtes de police. Oui vous avez bien compris, vous n’aurez pas le droit de vous défendre devant le juge à moins que vous ne soyez une brute épaisse en analyse forensic. Numerama relève en page 5 de la circulaire :

« dans le double objectif d’assurer la rapidité de la réponse pénale et de veiller à ce que le nouveau dispositif ne conduise à un engorgement des services de police et de gendarmerie, il conviendra d’éviter, sauf cas particulier, qu’une seconde enquête soit diligentée par ces services. »

On a ici une donnée intéressante puisqu’il est fait référence à une seconde enquête (la première étant celle de sociétés mandatées par des sociétés privées et dont personne ne s’est pour le moment intéressé aux modalités de facturation .. y a t-il des primes au rendement ?). L’enquête d’une société privée prévaudrait donc sur l’accès à une justice équitable.

Pouvait -il en être autrement ?

Non ! Clairement non… Vous croyez que le législateur s’est cassé la tête à inverser la charge de la preuve pour voir s’engorger les tribunaux d’enquêtes techniques pouvant être onéreuses. Prouver qu’une infraction a été commise par un tiers et par l’intermédiaire d’un cheval de Troie non détecté par l’anti-virus de Madame Michu pourtant installé par son petit fils, ingénieur informaticien, sur un Windows cracké …

Comme on le craignait donc depuis le début, il ne va pas être aisé de se défendre devant la HADOPI. C’est d’autant plus révoltant qu’on a ici la démonstration parfaite d’une inversion de la charge de la preuve, doublée d’une obligation de sécurisation de l’accès Internet pour lequel on nage toujours dans une étonnante « subtilité ». Plus inquiétant encore, on a ici une splendide et élégante manière de contourner l’avi du Conseil Constitutionnel qui observait il y a un peu plus d’un an que « seul un juge pouvait décider de la coupure d’un accès Internet car l’accès au Net est aujourd’hui une composante de la liberté d’information et de la communication« .

Alors oui … la HADOPI va peut-être commencer à faire peur. On arrive bien dans la phase répressive promise… jusque là tout va bien.

Mais une société privée qui se substitue à l’autorité judiciaire, quand on a encore les débats parlementaire en tête sur cette question, c’est particulièrement irritant… et là, je suis tout irrité.

HADOPI : pas tout à fait prête mais presque

hadopi emailAlors que l’on nous annonce que la machine devrait se mettre en route très vite, il y a quelques petits points de détails qui restent problématiques. Le mot d’ordre, c’est la dissuasion, alors que loin d’être dissuasive, on se doute bien de l’effet que va produire la première vague de courriers électroniques :

  • Une migration (encore plus) massive vers d’autres solutions de téléchargement que le peer to peer, encourageant une nouvelle économie illicite ;
  • Des faux mails devraient eux aussi inonder vos boites mail et créer quelques petites congestions ;
  • Des utilisateurs désorientés qui n’ont toujours même pas un petit site web où obtenir des informations claires ;
  • Les modalités pratiques de contestation d’un avertissement n’ont pas même été effleurées ;
  • Le processus de contestation va lui aussi assez sérieusement impacter la HADOPI car elle ne sera pas en mesure de les traiter correctement, ouvrant ainsi une brèche importante pour des ratios d’erreurs importants.
  • La négligence caractérisée et le manque de diligence à sécuriser son accès Internet restent une vaste blague pour 99% des internautes français, mais je vais -encore- y revenir dans un prochain billet ;
  • Free refuse de financer de sa poche le coût de l’identification des internautes là ou des opérateurs ne se cachent pas de collaborer docilement (c’est le cas de SFR et on se doute bien que Christine Albanel, nouvelle directrice des contenus d’Orange incitera le groupe à faire fuir les derniers jeunes abonnés qui restaient chez l’opérateur historique)… Le bras armé de la HADOPI pourrait donc ne pas fonctionner chez tous les FAI de la même manière, c’est une donnée assez intéressante à prendre en compte.

Et pourtant, vu le public visé, il y a fort à parier que la rentrée scolaire représente une date de coup d’envoi toute choisie. Alors, la HADOPI est elle vraiment prête ? La réponse est évidemment non. On attend aujourd’hui de la Haute Autorité plus qu’une elliptique plaquette distribuée en bordure d’autoroute pour prendre la mesure de l’applicabilité des décrets d’applications dont je persiste à dire que certains n’ont ni queue ni tête, faites le Quizz, vous verrez bien.

Les déconnexions d’internautes devraient rester très marginales cette année, le temps que la mécanique se mette en place et que l’on puisse mesurer l’impact desdits mails sur les internautes. Les ayants droit attendent beaucoup de cet impact psychologique, surement beaucoup trop. C’est en revanche dans les premiers mois de cette mise en place que ces mêmes ayants droit pourraient en toute logique commencer à se plaindre des migrations naturellement opérées par les internautes et hasard de calendrier, ça va tomber pile au moment des débats parlementaires sur la LOPPSI 2 et le filtrage des sites pédo-pornographiques que certains verraient très bien appliqués à certains sites, même si une partie de leur usage est parfaitement légal (megaupload, rapishare, dl.free.fr …). Pour le peer to peer, nous avons vu que ce n’était pas les usages légaux qui arrêtaient le législateur pour en faire un outil illicite. Qui sera le prochain sur la liste ?

Et pendant ce temps , nous avons :

  • Une offre légale toujours aussi ridicule ;
  • Des discussions avec les majors pour les contraindre à des facilités d’accès à leur catalogue au point mort, l’Etat a généreusement tout donné sans demander de contre-parties ;
  • Apple qui commence à stresser l’industrie de la musique…

La HADOPI va donc devoir intervenir dans un contexte ou rien ne sera fait pour qu’on l’oublie, en pré-campagne présidentielle, ça peut donner des choses intéressantes, mai quoi qu’il en soit, la HADOPI va chercher à séduire pour tenter de sortir de son costume de douanier. Quelles armes préventives utilisera t-elle ? quelle sera la part budgétaire Répression/Prévention… et surtout, que sera t-elle en mesure de proposer comme offre légale ?