HADOPI et les marchands de VPN

Hardware VPN

Comme c’était à prévoir, les marchands de VPN sortent leurs sites de pseudo contre-mesures HADOPI et spamment blogs et forums avec leur solutions qui n’en sont pas… comme Start-VPN (j’invite d’ailleurs tous les blogeurs à reporter comme spam tous les commentaires avec un lien pointant vers ce site).

Le dernier en date c’est anti-hadopi.com (et non je ne le link pas), un site bien commercial qui exploite la peur des internautes et qui n’hésite pas à afficher les logos d’antis historiques comme la Quadrature du Net, à côté d’un lien sur un compte PayPal pour vous vendre sa soupe… routeur VPN et SSL soit disant “inviolable“.

Le site, sur sa page d’accueil, affiche votre adresse IP avec un script à 2ct pour vous proposer un abonnement VPN et affiche dans son footer un beau logo de la Quadrature du Net.  Le site est enregistré aux USA chez GoDaddy et on comprend que son auteur souhaite se faire discret. Si les VPN sont une solution à peu près viable (mais loin d’être infaillible) pour vous “cacher” et ainsi faire de l’anti Internet (qui repose sur un modèle ouvert où les machines ont besoin de se voir pour communiquer)… il est important d’identifier les personnes à qui vous confiez vos flux de données… tout ceci repose en grande partie sur la confiance.

En attendant, au lieu de vous faire empapaouter par ce genre de marchands de pseudo sécurité à 5 euros par mois que je soupçonne fortement d’être malhonnêtes (ou complètement stupides pour utiliser un nom de domaine comme ça), je vous invite à lire ce billet et celui-ci.

Si ce site proposait une solution viable, il disposerait d’une raison sociale (même offshore) et d’un nom de domaine ne s’exposant pas à une procédure…

Il va de soi que la Quadrature du Net n’a rien à voir avec ce site web.

Si vous voulez aider la Quadrature à continuer à mener son combat sur le seul terrain qui vaille, vous pouvez faire un don ponctuel, ou un don mensuel. Elle en a grandement besoin pour continuer son action sur les dossiers ACTA, Neutralité du Net, LOPPSI… le compteur est formel, la Quadrature n’a aujourd’hui de quoi tenir que jusqu’en Janvier 2011.

HADOPI : 800 gagnants pour le premier tirage… combien au grattage ?

mailAujourd’hui, la Haute Autorité a communiqué une liste de 800 adresses IP pour identification en vue des premiers envois de mails. Ce sont donc 800 foyers qui devraient prochainement recevoir (ou pas) les premiers mails certifiés conformes (ou pas) de la HADOPI. Contrairement à ce que beaucoup prédisaient (moi le premier), le taux de faux positifs sur les premiers envois devrait être minime. On m’a assuré que les ip “flashées” avaient fait l’objet d’une attention toute particulière, et on comprend pourquoi : d’importants couacs sur les premiers heureux gagnants seraient un mauvais, un très mauvais signal. Tout a donc été fait pour minimiser la part d’aléas inéluctables.

Là où ça coince :

  • Toujours pas l’ombre d’un début de piste de procédure formelle de contestation en cas d’erreur ;
  • Toujours pas l’ombre d’un début de négociation avec les ayants droit pour une offre légale ;
  • Toujours pas l’ombre d’une définition de la connexion internet que l’on est sensé sécuriser ;
  • Toujours pas l’ombre d’une solution miracle de sécurisation ;
  • Toujours pas l’ombre d’une garantie quelconque contre une sanction injuste ;
  • Toujours pas l’ombre d’une preuve que les soit disant pirates se sont enrichis en téléchargeant René la Taupe ;
  • Toujours pas d’obligation légale faite à mon FAI chéri d’arrêter de livrer ses points d’accès avec du Wep activé par défaut.

… vu d’ici, on dirait presque que la charrue ait été placée avant les boeufs et on s’oriente plus vers une réponse dégradée à un problème non mesuré, que vers une riposte graduée.

Notez qu’on se fiche bien de savoir si vous avez téléchargé un MP3 d’Enrico Macias et êtes devenu le 18e internaute à ainsi contribuer à sa ruine, ce qu’on sanctionne ici c’est une négligence caractérisée. Non pas que vous ayez téléchargé ce MP3 par inadvertance en tentant de vous procurer une ouverture de Bach passée dans le domaine public, mais bien que vous êtres trop crétin pour savoir qu’un flaw dans TKIP permet un Man in the Middle… sombre crétin que vous êtes, je vous l’avais pourtant expliqué ici !

Mais tout ceci reste un déroulement logique dans le calendrier de la mise en place des procédures induites par la loi, on ne peut donc s’en étonner. En revanche,  il va y avoir un risque important de voir certains fournisseurs d’accès Internet proposer leur Hadopipoware. Au menu je vous prédis :

Les risques sont bien réels , on a déjà vu ce que ceci pouvait donner et franchement, ceci n’est pas fait pour rassurer. Il faut espérer que la Haute Autorité mette un point d’honneur à prendre des distances avec ce qui représente une véritable menace pour tous, tant sur le plan des libertés individuelles que sur le plan de la sécurité. C’est donc maintenant, plus que jamais, qu’il va falloir observer les ayants droit qui nous promettent du DPI, les fournisseurs d’accès qui se verraient bien le vendre, et les équipementiers qui vont nous sortir leurs solutions miracles dans peu de temps.

HADOPI : tu sécurises ou tu fliques ?

Au détour d’un commentaire lu sur Numérama en référence à l’amalgame volontairement fait dans ce billet entre la “sécurisation d’une connexion Internet” et la “sécurisation d’un site web”, j’ai pu me rendre compte de l’efficacité de la propagande menées par le Ministère de la Culture… ils ont réussi à mettre un sacré bazar dans nos cerveaux. Je me suis donc essayé à un petit exemple fictif pour illustrer un fait : le dispositif prévu dans le texte de loi n’est pas fait pour sécuriser, mais bien pour fliquer.

Je vais donc reprendre ici cet exemple, une fiction pour le moment mais je suis prêt à vous parier que si le texte était en l’état appliqué au pied de la lettre, la réalité pourrait même dépasser la fiction. C’est l’une des raisons pour lesquelles j’expliquais l’année dernière sur TechToc.tv que nous avions déjà gagné et qu’HADOPI telle que nous la connaissons ne sera probablement jamais appliquée car comme le dit l’adage : à l’impossible nul n’est tenu. Et l’impossible, c’est justement sécuriser une connexion Internet, ce qu’on essaye de nous faire passer pour une obligation légale. Maître Capello ? Pas mieux que trois lettres ? L.O.L.

Voici le commentaire qui a motivé ma réponse :

“C’est quoi le rapport entre la non-sécurisation de sites Internet et la sécurisation de la ligne d’un abonné à Internet pour empêcher les téléchargements illégaux ?
Ah oui, il y a le mot “sécurisation” dans les deux parties de la phrase. Donc de manière simpliste, on fait un raccourci : du moment qu’ils ne sécurisent pas leurs sites, alors ils ne peuvent pas nous demander de sécuriser nos lignes. Alors que les techniques, les moyens et les enjeux n’ont strictement rien à voir.
Bien évidemment qu’une base SQL non protégée sur un site gouvernemental, ce n’est pas très sérieux. Mais quel est le rapport avec Hadopi et ses dispositions législatives ? Ce n’est pas parce qu’ils sont en faute que cela vous dédouanne d’appliquer la loi !”

Notez que ce n’est pas le seul de ce cru, j’ai même pu en lire sur Read Write Web ou d’autres sites, ce qui justifie à mon sens une explication dont le but sera de dépoussiérer quelques notions et faire un peu le ménage dans les idées stupides que notre bon législateur a tenté de vous mettre dans le crâne (et il y est dans de nombreux cas parvenu).

Les faits

  • La loi Création et Internet mentionne une contravention pour non sécurisation d’une connexion Internet, sans pour autant définir le périmètre précis (essayez vous au Quizz, vous allez vite comprendre que juridiquement nous sommes là en face d’un concept particulièrement fumeux).
  • Pour que les données d’un serveur web soient accessibles il faut ? … une connexion Internet.
  • Pour qu’une machine se fasse compromettre, généralement, sur le Net, il faut … une connexion Internet et une vulnérabilité exploitable à distance (allant de l’utilisateur lui même qui ira cliquer sur un “i love you.exe jusqu’à une faille kernel… et entre ces deux extrêmes… il n’y a pas de limites.
  • C’est justement parce qu’entre ces deux extrêmes les limites n’existent pas, qu’AUCUNE solution logicielle de sécurisation au monde ne protègera jamais les utilisateurs de l’intégralité des risques liés à la nature du réseau… et à la nature du cerveau humain. Affirmer le contraire serait une bêtise.

La fiction

Une entreprise x dispose d’un extranet, son robots.txt indique un répertoire sensé être protégé qui ne l’est pas (au pif avec un beau .sh qui affiche en clair le mot de passe de la base de données Oracle du dit extranet). Un pirate y accède et pénètre l’extranet de l’entreprise, par escalation de privilèges ou en dumpant la base de données, il en prend le contôle de tout le réseau local de l’entreprise. Pour ce faire, rien de plus simple, avec un petit coup de dsniff, il s’empare de tous les mails du serveur de mail Exchange (assez pratique pour se faire renvoyer les passwords non ?), il a tous les mots de passe, tous les accès… voici un scénario malheureusement dramatiquement réaliste d’une compromission.

Puis, il se trouve que l’entreprise en question a une super bande pasante, du 100megas symétriques. Le pirate decide donc de se servir du NAS pour se faire sa médiathèque en ligne qu’il consulte en streaming via un flux chiffré sur un port non standard. Pour télécharger, il s’installe un client torrent en mode console, bien planqué là ou personne ne va jamais fouiller … dans le /opt par exemple.
La HADOPI envoie un mail que l’entreprise ne reçoit pas car elle ne le lit jamais, d’ailleurs, dans l’entreprise, personne ne sait si ce mail existe (le mail d’inscription utilisé pour ouvrir la connexion Internet chez le fournisseur d’accès).

A la réception du courrier recommandé (l’étape 2 de la procédure super pédagogique prévue par le texte), l’entreprise débusque le pirate sur son réseau mais n’a pas compris par ou il est arrivé. Elle supprime donc l’utilisateur ou change le mot de passe du compte utilisé par le pirate. Mais, souvenez vous, comme le pirate a dumpé la base de données et qu’il a récupéré des centaines de mots de passe en sniffant le réseau local de l’entreprise… et que l’entreprise n’a pas changé TOUS les passwords, notre pirate, pas décidé à abandonner sa connexion très haut débit depuis le fin fond de la Lozère, revient… puis un jour, après plusieurs incursions, un recommandé, et 3 audits internes (il faut pas que ça s’ébruite ce genre de choses vous comprenez, ça affolerait les clients de notre entreprise), l’entreprise se retrouve déconnectée du net.

Même l’Hadopipohardware, le Firewall Zyxel, acheté par l’entreprise et qui promettait une protection idéale contre HADOPI en filtrant les applications de peer to peer n’a rien vu venir.

Tout le système d’information de l’entreprise est donc rendu inaccessible depuis l’extérieur et ses salariés sans connexion dans les locaux se retrouvent au chômage technique.

Comme une circulaire de la chancellerie indique que tout cas un peu compliqué ne devra surtout pas être envoyé devant un tribunal… et que même si c’était possible la connexion est déjà coupée.. et que l’entreprise n’a pas le droit de souscrire à une autre offre… l’entreprise ferme ses portes et fait faillite incapable d’honorer une communication basique avec ses clients. Il reste le télétravail et peut être aller faire les rendez-vous clients au Mc Donald du coin.

Que nous apprend cette petite histoire ?

Il s’agit d’un constat évident, que malheureusement trop peu de personnes semblent avoir assimilé :

  • La sécurité ce n’est pas un produit mais ensemble de processus
  • HADOPI propose l’élaboration de solutions de “sécurité” dont la fonction n’est pas de prévenir de risques d’intrusion externes mais bien de fliquer des usages internes… ce qui inéluctablement conduit à un risque sécuritaire, c’est à dire, tout le contraire de ce qu’on tente de vous vendre.

Pour vous faire passer des vessies pour des lanternes, notez qu’il aura fallu :

  • 577 gus dans un hémicycle (en théorie), beaucoup moins en pratique
  • 2 HADOPI
  • un recallage au Conseil Constitutionnel
  • un site web de propagande à 80 000 euros pour 1 mois d’uptime (jaimelesartistes.fr)
  • la machine à spam la plus chère du monde…

… j’ai donc encore beaucoup de route à parcourir pour expliquer ça à qui veut l’entendre, je n’ai pas les mêmes moyens que ceux déployés par l’Etat, mais aidé par quelques gus, nous devenons tous des créateurs de possible… non ?

Hadopiprotection : un Hadopipoware “professionnel” à 199 euros

Le domaine hadopiprotection.com propose, une solution de contrôle de téléchargement essayant de faire son beurre sur la peur des entreprises. Encore une fois RESTEZ A L’ECART de ces solutions qui n’en sont PAS. On nous a déjà fait ce coup là, c’était l’année dernière :

  • Zyxel avec un firewall soit disant compatible HADOPI ;
  • Bluesafe qui avait inventé sa solution matérielle compatible avec une loi qui n’était à l’époque pas même encore votée et qui apportait quelque chose qui n’a d’ailleurs pas été retenu : le concept des listes blanches pour les points d’accès sans fil.

On savait qu’on allait voir fleurir ce genre d’offres, en voici une, la première à ma connaissance qui vise un marché de professionnels. C’est PCInpact qui, alerté par un internaute, a découvert cette “solution” à une problématique technique qui n’est toujours pas définie.

L’éditeur de ce soft, Matisoft, nous régale. Vu d’ici, aucun doute possible, nous sommes face à un splendide Hadopipoware… décryptage :

  • Hadopiprotection est présenté comme une solution “professionnelle”, à défaut de répondre à des critères légaux que l’on attend toujours, nous allons un peu plus loin étudier le professionnalisme très marketing de l’offre.
  • Elle promet, pour 199 euros HT (merci So0n de me l’avoir fait remarquer) d'”immuniser votre entreprise”, elle est “garantie 100% efficace” (contre quoi ?), je sais pas vous, mais moi ça me rappelle un éditeur antivirus, Tegam… mais ne comptez pas sur moi pour pratiquer un audit gratuit de cette solution pour Matisoft.
  • Notre Hadopipoware propose, tenez vous bien, “un système de blocage intelligent et diplomate”… tout un programme.
  • Hadopiprotection n’est disponible que pour Windows.
  • Matisoft présente sur son site “plus de 4500 références” parmi lesquelles EDF, ou le ministère de la Culture … rien que ça.

Quand on gratte un peu

On trouve dans les premiers résultats de recherche Google ceci ce qui nous mène à ceci, une belle loop sur l’index. Les 17 résultats indexés dans Google quand on tape le nom de cette “solution” ne sont que la partie visible de l’iceberg. En se balandant sur les liens présent en bas de page, on se rend compte que nous sommes face à des spamindexers : vous trouverez dans ce repertoire non indexé toutes les pages avec des titres des requêtes bien racoleuses… les plus fréquentes utilisées (fautes d’orthographe comprises, par exemple avec un beau ADOPI qui perd son H).

Pourquoi rester à l’écart d’Hadopiprotection pour le moment ?

  • Ce logiciel, en dehors de vous amputer d’une partie d’Internet et de potentiellement vous ouvrir à d’autres vulnérabilités, ne garanti rien du tout. Tant que la HADOPI n’aura clairement spécifié ce que ce genre de solution est censé faire, aucune solution ne peut prétendre à être 100% efficace.
  • Ici c’est particulièrement sournois, le nom même de la HADOPI est utilisé à des fins mercantiles dans le nom de domaine, toujours en exploitant les peurs des personnes les moins informées et les moins aguerries techniquement. Je persiste et signe, cette pratique est détestable.
  • Le site où est commercialisé l’offre est codé avec les pieds, il fleure bon l’amateurisme et la sécurité douteuse, le formulaire de commande est le parfait exemple de ce qu’il ne faut pas faire.
  • EDIT : Dernier point et pas des moindres on me signale que l’utilisation du terme “Hadopi” dans le nom même du logiciel pourrait constituer une contrefaçon de la marque déposée Hadopi. Il friserait la tromperie si l’on observe les nombreuses références faites à la loi, alors que les spécifications d’un éventuel logiciel de protection ne sont pas encore définies.

Bref, cette solution n’en est toujours pas une et m’a fait perdre un quart d’heure… Enfin, si la solution est aussi pointue techniquement que les compétences du webmaster, il y a de quoi avoir la trouille pour votre entreprise … suivante SVP !