HADOPI – Page 7 – ☠ Bluetouff's blog

26 juin 201026 juin 2010

HADOPI : la négligence caractérisée définie dans un décret d’application

En France, on a pas peur du ridicule, vraiment pas. Le délit de négligence caractérisée est une émanation de la Loi n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur Internet, plus connue sous le nom guignolesque d’HADOPI (Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet). La négligence caractérisée vient donc d’être définie dans le « Décret n° 2010-695 du 25 juin 2010 instituant une contravention de négligence caractérisée protégeant la propriété littéraire et artistique sur internet« . C’est un « petit » décret, avec pas trop de mots, juste ce qu’il faut pour définir l’indéfinissable, et surtout pour éviter de passer pour encore plus débile qu’il ne l’est déjà.

Avant de rentrer au coeur du troll, je vous invite à jeter un oeil sur ce que les députés qui ont voté HADOPI n’ont pas lu…

Alors ça raconte quoi ?

Ça raconte en gros que madame Michu va devoir sécuriser « sa connexion ». Mais le législateur se garde bien de définir ce qu’est une connexion à Internet… ça parait tout con comme ça mais, si je sais sécuriser ma machine, il m’est par exemple impossible de sécuriser la box de mon fournisseur d’accès, je n’en ai d’ailleurs pas le droit. Et quand je signale des horreurs sur les sites de certaines personnes pouvant conduire à la compromission de ma propre machine, ces derniers n’ont souvent même pas la courtoisie élémentaire de me répondre… La négligence des uns s’arrête t-elle là où commence celle des autres ?

Allez on va jouer un peu ensemble. Pour m’assurer que vous avez tous bien compris les tenants et les aboutissants de ce décret, je vous propose un petit quizz :

Question pour un champion numéro 1 : où s’arrête la connexion Internet que je suis sensé sécuriser ?

Réponse A : à ma machine ?
Réponse B : à ma box ?
Réponse C : au noeud de raccordement de mon opérateur ?
Réponse D : au site web que je visite ?

Question pour un champion numéro 2 : où sont les spécifications du dispositif de sécurisation que la HADOPI devait agréer ?

Réponse A : parties chez Orange avec Christine ?
Réponse B : sur un post-it accroché à la machine à café de la rue de Texel ?
Réponse C : DTC (Dans Ton Cloud) ?
Réponse D : la réponse D ?

Question pour un champion numéro 3 : Si ma machine est infectée par un trojan, un keyloger ou un backdoor malgré les 5 euros par mois que je paye à mon fournisseur d’accès et que moins d’un an après mon premier avertissement, elle est réutilisée à des fins de contrefaçon je suis :

Réponse A : un internaute comme les autres ?
Réponse B : une victime ?
Réponse C : un coupable ?
Réponse D : un con ?

Question pour un champion numéro 4 : Pour HADOPI, Nathalie Kosciusko Morizet a :

Réponse A : bien fait son travail et j’ai lu tous ses tweets ?
Réponse B : j’aime bien les pépitos ?
Réponse C : été quasi neutre ?
Réponse D : Natha qui ça … ah … la soeur de Pierre ?

Question pour un champion numéro 5 : Le délit de négligence caractérisée est :

Réponse A : une incongruité spatio-temporelle mais étonnamment subtil ?
Réponse B : une bonne chose car tout le monde va se mettre à OpenBSD ?
Réponse C : l’occasion rêvée pour le gouvernement d’introduire le Deep Packet Inspection « pour vous protéger » ?
Réponse D : l’occasion d’écrire un beau billet sur S.C.A.D.A pour ridiculiser un peu plus ce décret ?

Question pour un champion numéro 5 : En l’absence de dispositif de sécurisation agréé, je peux sécuriser ma connexion en :

Réponse A : mettant du web sur ma Wi-Fi ?
Réponse B : me payant un VPN chiffré SSL ?
Réponse C : balançant mon ordinateur par la fenêtre ?
Réponse D : la réponse D ?

25 juin 201028 juin 2010

HADOPI : l’important c’est d’y croire

Toi aussi la HADOPI te fait poiler ? Roooh comme tu es taquin… !

Pascal te demande d’y croire !

D’ailleurs, dés que tu recevras un mail, tu t’empresseras d’aller le poster sur Facebook, avec ses entêtes complets pour qu’on voit bien que toi au moins c’est pas un fake que tu as reçu… c’est un vrai ! … petit veinard… tu vas avoir le droit de le contester ! Tu vas pouvoir superpoker tes 842 contacts pour te la péter et partager ta barre de fou rire avec le monde entier ! Si avec ça tu leur fous pas la trouille à tes contacts !

Puis tu vas aussi pouvoir poster tes 3 mails de contestation, tes 2 mails de confirmation de contestation et tes 4 mails de demande de réponse sur la procédure à suivre pour sortir de la base de données de la HADOPI (conservée 18mois, soit 50% de temps en plus que les logs d’un FAI)… avec les 50 000 Facebookiens qui vont recevoir ce mail, ça nous fait (3+2+4)*50 000 + 50 000, soit 500 000 mails publiés sur Facebook ! … vous allez voir que Facebook va demander à la HADOPI de payer une partie des frais de stockage sur son cloud … La campagne de pub qui tue ! Avec ça, c’est même plus la peine que la HADOPI sponsorise l’équipe de France de foot. Bon par contre, les 450 000 mails par jour de contestation et de demandes d’informations complémentaires, il va falloir y répondre. Alors on fait comment ? J’ai entendu dire qu’à Madagascar on pouvait trouver une sous-traitance qui ne plomberait pas trop les finances publiques. Sinon il y’a aussi ce petit script perl qui me semble assez adapté à la situation, le Bastard Operator From Hell excuses generator.

Sacré veinard de Facebookien, comme tu vas te poiler ! Pour « enlarge ton network », tu vas aussi pouvoir mettre en copie de ton mail tous les députés qui ont voté HADOPI, juste pour leur confirmer que leur truc « ça marche vachement bien ».

Ne te limite pas Facebook surtout, si tu reçois un mail de la HADOPI, si ce n’est pas déjà fait, ouvres toi un compte Twitter, tu te rends pas compte ?! Tu pètes direct 500 followers avec un mail de la HADOPI ! … la terreur sera multicanal ou ne sera pas !

D’ailleurs ce truc ça DOIT te foutre la trouille, si ! c’est obligé ! Hey, c’est pas des rigolos les mecs … ils vont balancer 18,25 millions d’ip par an ! … soit plus qu’il n’existe d’abonnements haut débit en France ! Même les inuites chient dans leur froc !

Sacré Pascal ! Allez je plaisante… On est tous morts de trouille, elle fonctionne vachement bien ta pédagogie 😉

25 juin 201025 juin 2010

La surveillance généralisée du Net s’accélère… OH ! BAMM ! AAAAH !!

OH !

Il y a quelques jours, on parlait ici du « killswitch » qui permettrait au président américain de couper des AS entiers … mettre dans le noir des bouts entiers d’Internet. Le cauchemar est en train de devenir une réalité puisque le Sénat américain vient de l’adopter. Ce fait, d’apparence anodin, vient de créer un précédent qui ne manquera pas de passer les frontères, vous étiez prévenus.

Comme si cela ne suffisait pas, la surveillance du Net est sur le point de s’immiscer au coeur des réseaux des fournisseurs d’accès, le DPI ou Deep Inspection Packet n’ayant pas bonne presse, il subira le même sort que la vidéo-surveillance que l’on a rebaptisé « vidéo-protection »… on vous dit que c’est pour vous P.R.O.T.E.G.E.R ! On pourra imaginer un nom bien « sécurisant » au DPI, genre « Protection de flux informationnels »… on en est plus à ça près. Vous pensez qu’en chiffrant votre trafic vous serez épargné ? Oui et non … SSL, Newsoft en cause fort bien ici, n’est pas infaillible. Le modèle de confiance est déjà sérieusement entamé. De plus, les technologies DPI évoluent très vite en ce moment et le DPI sur SSL semble être une réalité. Mieux encore, sachez qu’il existe des entreprises dont on entend pas du tout parler, comme Kalray qui travaillent sur des choses assez surprenantes comme le MPPA… vous voyez qu’on est vachement bons en France… on est aussi vachement discrets.

Pendant ce temps, les cybercriminels se fendent la pêche…

BAMM !

« Give a monkey a brain and he’ll swear he’s the center of the universe »

Ce qui me dérange ? C’est que nous sommes en train de donner les moyens techniques aux politiques de pratiquer la censure du Net, elle deviendra donc la règle… Au début on filtrera les pédophiles, puis les sites de jeux en ligne, puis après les contenus copyrightés, et on finira inéluctablement par le filtrage politique (comme Mitterrand en son temps pratiquait les écoutes téléphoniques, les écoutes de connexions deviendront un sport gouvernemental underground…) oui comme en Chine, et ça ne semble pas leur faire peur.

Peu importe si dans d’autres pays pas si lointains les prestataires presentis ont gentiment été écartés pour d’évidentes raisons d’atteintes à la vie privée (on aimerait bien un avis de l’Union Européenne sur le DPI d’ailleurs avant que les FAI ne trouvent le moyen de le proposer en OPT-IN en France … comme un cheval de Troie…) ou quelques déboires avec la justice… des batailles de brevets, trois fois rien. Pour ceux qui ont loupé un épisode le projet RIALTO est une émanation de Kindsight, qui est lui même une émanation de Alcatel Lucent.

AAAAAH !

Allez, on passe aux « presque bonnes nouvelles »

ZyXEL qui va pouvoir mettre à jour sa plaquette commerciale puisque les IP des entreprises n’entreront pas dans la liste des « déconnectables » par la HADOPI, comme l’explique GenerationNT entre deux projections ridicules de Pascal 2.0 : « TMG écartera du flashage les adresses IP des entreprises… Quant aux IP à l’origine de nombreux téléchargements illégaux ( un millier ), ce sera directement l’action en justice, sans e-mail d’avertissement. »

Il y a une autre bonne nouvelle, Christine Albanel a un an de plus, nous lui souhaitons donc un joyeux anniversaire que PCInpact nous propose de féter en video. Mais il y a aussi une mauvaise nouvelle, elle pourrait prendre sa retraite plus tard…

Mon grand père disait …

« Chez nous, il y a trois problèmes : le feu qui dévaste le maquis, les sangliers qui ravagent les cultures, et la politique qui s’occupe de tout le reste.

24 juin 201024 juin 2010

SACEM : ça bataille sec pour le cul de crémière

Sur une lointaine planète, loin de la crise, loin des retraites, mais pas si loin du ridicule de l’équipe de France en Afrique du Sud… il y a la SACEM. Je viens de lire avec attention l’article d’Electron Libre où Bernard Miyet évoque la larme à l’oeil l’insurmontable crise que la société d’auteur subit, à cause des pirates de l’internet qui pillent, brûlent et violent tout ce qu’ils peuvent downlader. Figurez vous que ses revenus sont en hausse, preuve s’il en fallait qu’à cause d’Internet la création se meure : +0,85% avec un total de droits collectés de 762,3 millions d’euros … putain de crise.

Mais voilà, Bernard il aimerait bien lui aussi croquer une petite part du gâteau des aides de l’Etat… c’est pas parce qu’on est en bonne santé qu’on va se priver d’une petite perfusion après tout ? Vous voilà prévenus, la taxe des FAI, ça sera pour lui.

« Pourquoi soutenir une catégorie et pas l’autre ? On exclut seuls les auteurs et compositeurs »

C’est peut être parce qu’ils se portent bien non ? C’est les majors qui vont mal pas les auteurs, même les chiffres de perception en attestent. Vous allez voir, dans pas longtemps, on va nous faire le coup de la hausse de la taxe sur la copie privée alors que cette dernière est désormais interdite. C’est pour financer la création on vous dit… pas les petites escapades caraibéennes de pontes de la SACEM hein… la création, la VRAIE, celle faite par des artistes !

Mais tout ceci n’arrête pas Bernard Miyet, qui sent quand même le bon filon.

Ça veut dire quoi déjà HADOPI ? Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet… ah oui vu comme ça … qui a parlé de protéger la création ? c’est les droits de certains qu’on protège en réduisant ceux des autres… t’as rien compris au film Bernard. Le truc c’est que dans la vraie vie les droits sont bien protégés, par contre sur Internet comme c’est le FarWest, il a fallu créer une milice qu’on peut qualifier à ce jour, tant qu’elle n’aura strictement aucune marge de manoeuvre pénale, de machine à spam la plus chère du monde. Je voulais me proposer pour vous aiguiller sur des boards russes qui auraient pu vous faire économiser quelques millions mais bon… De coup notre pauvre HADOPI est tellement ridicule qu’elle n’ose même pas envoyer ses premiers mails, on nous parle maintenant de septembre 2010 (comprenez août 2012 si nous n’arrivons pas à nous débarrasser du problème par les urnes). Quand on va faire les comptes de la blague de l’ami Nicolas, on va se prendre une sacrée douche froide.

Allez on y croit !

« la Sacem s’est étonnée qu’il ait fallu attendre 10 ans avant de voir un dispositif qui permettra de « responsabiliser« , les internautes »

Et là j’explose de rire, car la « responsabilisation des internautes » a bon dos quand l’ensemble de la filière n’a pas été fichue … en 10 ans… d’apporter une once d’intelligence pour proposer une offre légale cohérente… ce qui m’amène à penser que la SACEM n’est pas au bout de ses peines, que la HADOPI aujourd’hui aura beau agiter la matraque, elle restera une coquille vide. Faut il rappeler encore une fois qu’on attend toujours les décrets d’application, qu’on attend toujours les spécifications du logiciel de « sécurisation » … et qu’on attend toujours des positions cohérentes de la part des uns et des autres ?

Du coup quand je vois le monsieur applaudir des deux mains alors que la SACEM est le grand cocu de l’hisoire, je me dis que ceci ne laisse présager rien de bon, pour l’instant, depuis le passage éclair de Laurent Petitgirard dans les commentaires de ce blog… tout se passe exactement comme nous l’avions prévu. Donner un soutien aveugle à HADOPI alors que celle ci ne sert pas les auteurs… quand on est président de la SACEM… comment dire ça de manière courtoise…c’est comme être supporter de l’équipe de France après la coupe du monde 2010.

S’il faut l’attendre encore 10 ans cette licence globale, on l’attendra, ce n’est pas pour les internautes que ça presse, c’est pour les auteurs, les grands oubliés de la HADOPI dont le nom même est un mensonge éhonté (la haute autorité n’est pas « pour la diffusion des oeuvres sur Internet mais oeuvre pour la restriction de leur diffusion… examinez les faits, vous en viendrez à la même conclusion que moi… c’est la HADOPI qui tue les artistes, Internet ne tue que les majors). La SACEM n’aime pas Internet et les internautes lui rendent bien, il est surprenant de la voir s’étonner de peiner à y collecter quoi que ce soit… qu’offre t-elle en échange ?

Design thx to @MyGBB

21 juin 201021 juin 2010

HADOPIPANPANCULCUL par France5

L’OMWF a encore frappé ! L’office de Minitellisation du Web Français sévit maintenant sur le canal 5 de votre téléviseur.

Aujourd’hui, comme HADOPI prend l’eau de tous les côtés, il faut bien que quelques propagandes viennent à sa rescousse.

C’est une mission que s’est fixé le service public, parait-il sans qu’on lui demande rien … une initiative de propagande, une super production financée avec de l’argent public ? Acceptera t-elle un débat contradictoire ou s’agit-il vraiment d’une vidéo de propagande ?

Evidemment France5 se garde bien de faire de la pub à une plateforme de téléchargement légal et indépendante (faut dire qu’elles ne sont pas légion). La pédagogie ici passe par un message de type hadopipanpanculcul au vilain pirate, il était difficile de faire plus manichéen.

Clubic nous apporte une information assez intéressante également, même si le lien producteur de la vidéo virale nous aiguillait directement sur la HADOPI, cette dernière dément en être à l’origine, en fait, elle serait l’oeuvre de curiosphère (dont le lien de Clubic me fait étrangement penser à une curiopopup d’un curiocoldfusion… ).

Seul problème l’initiative est loin de recevoir un accueil très chaleureux sur le Net, ce genre de « pédagogie » ne trompe pas grand monde, on est aux frontières du ridicule… ça commence à devenir blasant.

20 juin 201020 juin 2010

HADOPI et dérives commerciales (encore) : ZyXEL et son Hadopipohardware

Allez hop, on enchaine cette fois ci avec le fabricant hardware Zyxel. C’est The Inquirer qui nous avait débusqué ça il y a plus d’un an. Je suis particulièrement déçu par cette société dont je convoitais un AP Wireless, mais tant pis, après ce que j’ai vu je m’en passerai, le service commercial de Zyxel vient de réussir à m’en dissuader définitivement. HADOPI est devenue un argument de vente plutôt limite sur le concept bien connu de la peur du gendarme. Sauf qu’encore une fois, la Haute Autorité n’a pas encore été capable de fournir des spécifications claires sur un éventuel dispositif de sécurisation qu’elle pourrait agréer (voir le point sur le projet). On ne sait d’ailleurs même pas si ces spécifications ont une chance de voir le jour, la Haute Autorité et les ayants droits souhaitent envoyer les premiers mails en s’acquittant de cette mission… impossible. C’est donc à qui sortira sa solution « compatible HADOPI »… et là c’est un festival :

Le failware Orange s’y est essayé pour les particuliers ;
L’Hadopipoware professionnel « Hadopi Web Filter » nous a bien fait rire aussi ;
L’Hadopipohardware de Bluesafe nous avait gratifié d’un routeur avec une fonctionnalité de listes blanches dont l’idée a depuis été abandonnée;
Et voici un nouvel Hadopipoharware cette fois ci par Zyxel qui l’affiche clairement dans sa communication en en faisant la une de son catalogue commercial 2010

Puis en page 2 du même catalogue, on a droit à un super baratin qui est sensé faire très peur au chef d’entreprise afin que ce dernier achète ce qui est présenté comme une solution complète « Hadopi ». A3r0 me souffle dans l’oreillette que l’article L.121-1 du Code de la consommation procède par la négative et se borne à interdire toute publicité trompeuse à destination du consommateur ;

J’adore surtout le paragraphe sur « Les chefs d’entreprises seront responsables », ah celui -ci c’est c’est mon préféré. On peut le résumer par ceci : « si t’achètes pas mon firewall, la HADOPI va couper le Net de ton entreprise, tu n’auras plus de téléphone, plus de mail, tu vas perdre tous tes clients… si tu ouvres une connexion chez un autre FAI on te coupera une main donc ta boite va faire faillite, ta femme va te plaquer et ton poisson rouge va se pendre … tout ça parce qu’un con a téléchargé un MP3 et que t’as pas voulu acheter mon hadopipohardware« … Je sais pas vous mais j’attends de voir le jour où la Haute Autorité coupera le Net à une entreprise (ce paragraphe est au minimum un énorme FUD, au pire, un argument mensonger, la HADOPI prévoyant des dispositions spéciales pour une entreprise qui ne saurait voir sa connexion coupée sous menace de cessation d’activité et de chômage technique…).

Zyxel propose donc un pare-feu matériel, dont je ne doute pas de la qualité, le fabricant étant loin d’être le plus mauvais, mais dont la communication est maladroite et pourrait prêter à la confusion chez les consommateurs. Si Orange a pris, en terme de communication, quelques distances avec les références à la HADOPI, les 3 autres « solutions » s’affichent clairement comme des solutions à une problématique légale toujours pas énoncée. Chez Quadri Concept, un revendeur, on affiche aussi jusque dans l’URL ce baratin commercial (http://www.quadri-concept.fr/Filtrage_hadopi/zyxel.htm), laissant supposer qu’il s’agit bien d’une stratégie de vente sur laquelle le constructeur mise, comme le montre encore cette page ou les presque 2000 occurrences dans Google.

Le marketing, dés fois, c’est vraiment détestable… Pensez cenpendant qu’il reste une solution qui ne vous coutera pas un rond, qui est pour le moment tout aussi efficace pour ce dont elle prétend vous protéger ,et grâce à laquelle vous passerez un bon moment : le Firewall OpenOffice.

Suivant …

19 juin 201020 juin 2010

Hadopiprotection : un Hadopipoware « professionnel » à 199 euros

Le domaine hadopiprotection.com propose, une solution de contrôle de téléchargement essayant de faire son beurre sur la peur des entreprises. Encore une fois RESTEZ A L’ECART de ces solutions qui n’en sont PAS. On nous a déjà fait ce coup là, c’était l’année dernière :

Zyxel avec un firewall soit disant compatible HADOPI ;
Bluesafe qui avait inventé sa solution matérielle compatible avec une loi qui n’était à l’époque pas même encore votée et qui apportait quelque chose qui n’a d’ailleurs pas été retenu : le concept des listes blanches pour les points d’accès sans fil.

On savait qu’on allait voir fleurir ce genre d’offres, en voici une, la première à ma connaissance qui vise un marché de professionnels. C’est PCInpact qui, alerté par un internaute, a découvert cette « solution » à une problématique technique qui n’est toujours pas définie.

L’éditeur de ce soft, Matisoft, nous régale. Vu d’ici, aucun doute possible, nous sommes face à un splendide Hadopipoware… décryptage :

Hadopiprotection est présenté comme une solution « professionnelle », à défaut de répondre à des critères légaux que l’on attend toujours, nous allons un peu plus loin étudier le professionnalisme très marketing de l’offre.
Elle promet, pour 199 euros HT (merci So0n de me l’avoir fait remarquer) d' »immuniser votre entreprise », elle est « garantie 100% efficace » (contre quoi ?), je sais pas vous, mais moi ça me rappelle un éditeur antivirus, Tegam… mais ne comptez pas sur moi pour pratiquer un audit gratuit de cette solution pour Matisoft.
Notre Hadopipoware propose, tenez vous bien, « un système de blocage intelligent et diplomate »… tout un programme.
Hadopiprotection n’est disponible que pour Windows.
Matisoft présente sur son site « plus de 4500 références » parmi lesquelles EDF, ou le ministère de la Culture … rien que ça.

Quand on gratte un peu

On trouve dans les premiers résultats de recherche Google ceci ce qui nous mène à ceci, une belle loop sur l’index. Les 17 résultats indexés dans Google quand on tape le nom de cette « solution » ne sont que la partie visible de l’iceberg. En se balandant sur les liens présent en bas de page, on se rend compte que nous sommes face à des spamindexers : vous trouverez dans ce repertoire non indexé toutes les pages avec des titres des requêtes bien racoleuses… les plus fréquentes utilisées (fautes d’orthographe comprises, par exemple avec un beau ADOPI qui perd son H).

Pourquoi rester à l’écart d’Hadopiprotection pour le moment ?

Ce logiciel, en dehors de vous amputer d’une partie d’Internet et de potentiellement vous ouvrir à d’autres vulnérabilités, ne garanti rien du tout. Tant que la HADOPI n’aura clairement spécifié ce que ce genre de solution est censé faire, aucune solution ne peut prétendre à être 100% efficace.
Ici c’est particulièrement sournois, le nom même de la HADOPI est utilisé à des fins mercantiles dans le nom de domaine, toujours en exploitant les peurs des personnes les moins informées et les moins aguerries techniquement. Je persiste et signe, cette pratique est détestable.
Le site où est commercialisé l’offre est codé avec les pieds, il fleure bon l’amateurisme et la sécurité douteuse, le formulaire de commande est le parfait exemple de ce qu’il ne faut pas faire.
EDIT : Dernier point et pas des moindres on me signale que l’utilisation du terme « Hadopi » dans le nom même du logiciel pourrait constituer une contrefaçon de la marque déposée Hadopi. Il friserait la tromperie si l’on observe les nombreuses références faites à la loi, alors que les spécifications d’un éventuel logiciel de protection ne sont pas encore définies.

Bref, cette solution n’en est toujours pas une et m’a fait perdre un quart d’heure… Enfin, si la solution est aussi pointue techniquement que les compétences du webmaster, il y a de quoi avoir la trouille pour votre entreprise … suivante SVP !

18 juin 201018 juin 2010

Logiciel de sécurisation HADOPI : un point sur le projet

Comme tout le monde se demande ce que va devenir le logiciel de « sécurisation » HADOPI et que les informations sont particulièrement compliquées à obtenir, voici en exclusivité mondiale un document extrait d’Hadopileaks, le site qui défraie la chronique en publiant des images insoutenables et qui met sur les dents la NSA, le MI6, la DST, Interpol …

Après des heures d’investigation, nous avons mis la main sur un document exclusif que nous diffusons ici.

Il s’agit d’un état d’avancement sur le projet de logiciel de sécurisation HADOPI labellisé par la HADOPI elle-même répondant scrupuleusement aux processus définis par une méthodologie qui a fait ses preuves depuis de nombreuses années et que tous les chefs de projets connaissent bien : la méthodololie à la R.A.C.H.E (Rapid Application Conception and Heuristic Extreme-programming).

Cliquez sur l’image pour l’agrandir

Crédit : IILaR (l’International Institute of La RACHE)

Greetz : Pollux pour le lien 😉

17 juin 201017 juin 2010

Orange : le logiciel de contrôle de téléchargement est retiré de la vente

Il s’est passé beaucoup de choses depuis dimanche dernier, je n’ai pas trop souhaité commenter quoi que ce soit tant qu’une réponse satisfaisante n’était pas apportée.

Aujourd’hui Orange a pris une décision courageuse dans un contexte particulièrement difficile. Dans un communiqué officiel, le fournisseur d’accès retire de sa boutique en ligne sa solution de contrôle de téléchargement.

Orange nous signale également que les données collectées par le dispositif n’étaient en aucun cas destinées à être transmises à la HADOPI. Elles restaient strictement chez le fournisseur d’accès. A ce sujet, je dois dire que même si j’ai eu des soupçons, je suis tout à fait disposé à croire Orange car je doute également que l’opérateur se compromette dans ce genre d’exercice de style qui serait une erreur sur les plans juridiques … et médiatiques.

Je voulais aussi vous parler du reverse du client lui même … Avec fo0 nous l’avons examiné, cherché à comprendre les motivations et ce que nous avons trouvé nous a plutôt rassuré. que vous dire sinon que je suis admiratif de la vitesse à laquelle ceci a été fait et de la qualité du billet posté sur fulldisclosure. L’exploit lui même est un modèle du genre, payload obfuscated, le packaging, la poésie Ruby… les personnes qui ont fait ça ne sont manifestement pas animées de mauvaises intentions, d’autres indices me poussent même à affirmer qu’il n’attaqueront pas et que cet advisory est à pur titre informatif… et ils sont définitivement trop doués pour être idiots.

Cependant, il faut être conscient qu’un risque subsiste pour les personnes qui ont installé le logiciel, Orange est en train de contacter la vingtaine de clients concernés depuis hier après-midi pour leur expliquer l’arrêt de l’offre et les aider à désinstaller le logiciel

Si vous avez installé le logiciel, désinstallez le. Il est vulnérable à des attaques permettant d’exécuter du code malicieux.
Si vous êtes abonné Orange et que vous recevez un mailing vous invitant à télécharger ce logiciel (même gratuitement), renvoyez aussitôt ce mail en pièce jointe avec ses en-têtes complets à [email protected] : il s’agit d’une tentative de phishing visant à infecter votre machine.

Mon sentiment profond, vous le connaissez surement. Ce genre de solution ne peut créer plus de sécurité pour les utilisateurs, l’histoire nous a maintes fois démontré le contraire. D’autres dispositifs existent, j’ai par exemple des soupçons de modules intégrés directement sur les DSLAM chez d’autres opérateurs… mais pas de preuves pour étayer cette hypothèse. J’espère simplement qu’ils auront l’honnêteté de communiquer sur le type de dispositif mis en place, les données collectées ainsi que leur traitement.

Pour conclure je retire un enseignement de tout ça qui me fait fait chaud au cœur, il y a une véritable communauté de hackers en France que je pensais morte. J’espère que les entreprises en prendront bonne note et tenteront de s’en rapprocher, pour ouvrir un dialogue sur les bons usages en termes de respect de la vie privée et de sécurité. Pourquoi ne pas par exemple nous donner tous rendez-vous pour le prochain Pas Sage en Seine ?

17 juin 2010

HADOPI : Le Firewall OpenOffice est maintenant une réalité

C’est fait, le premier firewall Openoffice est maintenant une réalité, il a vu le jour hier soir. Son géniteur, Pollux, nous a procuré un moment de bonheur intense avec ce chef d’oeuvre d’humour et d’ingéniosité.

Inutile de revenir sur les origines de ce firewall, vous les connaissez sans doute, pour ceux qui étaient sur une autre planète pendant les débats parlementaires sur HADOPI, vous avez droit à une piqure de rappel :

Mieux, l’oeuvre de Pollux n’est pas une vaporware … il fonctionne bel et bien. Son architecture est clairement spécifiée sur son blog. Codé en Python, utilisant PythonUno, Nfqueue, une feuille de calcul OpenOffice comme interface graphique, et surtout Netfilter, ce qui ne devait être qu’une blague pour geek filtre bel et bien des paquets !

Vous pouvez le télécharger ici,

Merci Pollux, tu r0x !

Cookie	Durée	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.