CONTOURNER HADOPI POUR LES UN PEU MOINS NULS (PARTIE 2) : wireless cracking for fun and profits

Plutôt que de vous pondre un énième tutoriel Aircrack-ng ou Kismet, nous allons tenter d’avoir une approche un peu plus vulgarisatrice en nous affranchissant de toute explication sur un logiciel particulier.milw0rm

Nous allons donc nous concentrer sur la stricte théorie dans un premier temps pour comprendre les vulnérabilités du WEP dans un premier temps et des équipements wifi dans un second temps. Pas ici de cours magistral ce n’est pas vraiment le propos, mais si ça vous intéresse je vous recommande vivement la lecture du blog de Cédric Blancher.

Voici donc comment nous allons aborder notre thème du jour, on va la faire très simple :

  • Le Wep saymal
  • Le WPA TKIP saybien mais pas top
  • WPA/AES/CCMP et WPA2/AES/CCMP sont amour et félicité … oui mais …
  • Et ton firmware bordel #@%#=#£@$@#!!!

1° le WEP saymal !

Le Wired Equivalency Protocol plus connu sous le petit nom de WEP est connu pour être « crackable ». Crackable voulant ici dire que la clef chiffrant les communications entre les ordinateurs et le point d’accès peut être « cassée »… ou plutôt extrapollée depuis des paquets collectés sur le réseau sans même que l’intrus n’ai besoin de s’y conecter, il s’agit d’une écoute de réseau passive, quasi indétectable. Le WEP est en France connu en ses versions 64 et 128bits, des chiffrages très faibles puisqu’il faudra soustraire à cela 24 bits qui passent en clair pendant l’établissement de la communication sans fil. De notre chiffrement, en 64 bits, on a donc un chiffrement effectif de 40 bits et en 128 bits, un chiffrement effectif de 104 bits. Ces bits qui passent en clair sont appellés IV, ou vecteurs d’initialisation. Ce sont ces paquets non chiffrés qui permettent à l’ordinateur et au point d’accès de communiquer alors qu’ils ne se connaissent pas. En clair, c’est ce qui permet à l’ordinateur de détecter le réseau, son SSID, et l’adresse mac du point d’accès auquel il va se connecter (BSSID). Une adresse mac  est un identifiant unique assigné par son constructeur à chaque périphérique réseau, ainsi, il est très aisé de déduire le fabricant et le modèle du point d’accès wifi auquel on s’attaque. <subliminal> Matte ce truc !</subliminal>

Visualisons un peu a quoi ressemble nos trames en wifi :

-----------------------802.11 Header----------------------
---IV 0---|---IV1---| --- IV 2 ---|--------ID------------ |
---snap0---|---snap1---|---snap2---|---Protocole ID---|
==========================================================
--------------Couche des données--------------------------|
===========================================================
----------checksum (contrôle des datas)-------------------
==========================================================

En pratique, quand ce genre de trame circule dans les airs, il est possible, pour n’importe qui de les intercepter. En collectant un grand nombre d’IV, il devient possible de déduire la clef de chiffrement, et ainsi, d’accéder aux données de tous le réseau local.

Voilà pour les grands principes théoriques de la faiblesse du WEP. En pratique, ceci veut dire véritable cauchemard pour notre madame Michu qui sur les conseils bien avisés de son fournisseur d’accès a chiffré son réseau en WEP parce qu’elle avait une très vielle carte wifi et qu’elle ne sait pas chercher un driver à jour sur le site du fabricant …. comme 80% des internautes…Et comme son driver ne supportait à l’époque pas le WPA ….

Conclusion pour le WEP : ne jamais utiliser cette méthode de chiffrement, et ne vous croyez pas à l’abri a cause du filtre d’adresse mac de votre Livebox ou du pack sécurité que vous payez 5 euros par mois à votre FAI qui dit vous protéger de tous les virus et hackers … c’est de la publicité mensongère, ni plus ni moins.

Les mésaventures de notre Madame Michu, appelons la Christine pour notre exemple, ne s’arrêtent pas là.

2° Le WPA TKIP saybien mais pas top

Christine a lu ce blog, elle sait donc que le WEP saymal, toute contente de sa nouvelle mise à jour Open Office, Christine se connecte sur son routeur

Mais Christine a reçu un premier avertissement de l’HADOPI, alors qu’elle ne fait que du Deezer. Elle se décide donc ainsi à passer en WPA sur les conseils de son nouveau voisin de palier, Frédéric M. Le chiffrement des données qui transitent sur le réseau c’est bien, mais il faut aussi se taper le manuel de l’authentification pour ne pas se rendre coupable d’un « défaut de sécurisation de la ligne ».

Christine ne connais pas les méthodes d’authentification, ce n’est pas une experte, et se taper toutes la doc de TCPIP/WPA et s’avaler 3 ou 4 bouquins de crypto, elle n’a pas vraiment le temps, surtout que certains ont étudié ça pendant des années et ne sont eux même pas au top, on appelle ça des « ingénieurs informaticien »… ces mêmes « ingénieurs informaticiens qui se rendent coupables de ce genre de choses … autrement plus graves que de télécharger un mp3…

Ah mais si HADOPI dit que toi, Christine Michu tu dois sécuriser ta ligne, il faut t’y plier, sinon c’est prison ! sans passer par la case juge … ou alors si mais en mode expéditif … puis a quoi ça sert qu’on laisse à Christine le droit de se défendre ? Elle ne saurait pas expliquer le quart des mesures de sécurité qu’elle a mis en  en double cliquant sur une version warez russe du firewall open office.

Donc Christine pleine de bonne volonté, se dit qu’elle va passer en WPA, le bidule TKIP/AES machin, elle ne sait pas vraiment ce que c’est, elle s’en cogne comme de l’an 40. Monumentale erreur, juste en face de chez Christine habite Jean-Kevin, notre Jean-Kevin du haut de ses 13 ans est passer maître dans l’art de brute forcer du WPA. Comme n’importe quel grand expert de la sécurité, notre Christine a choisi un mot de passe qu’ellle arrive à retenir … avec pas trop de lettres hein !

Notre Jean-Kevin est lui assez au fait de ce qui se fait et choisit une attaque par dico assez classique, …. au bout que quelques minutes la clef de Christine « wifimaison » s’affiche en clair, notre Jean-Kevin aspire tout Pirate Bay … Christine reçoit un second avertissement de l’HADOPI, cette fois par courrier recommandé … c’est la seconde fois qu’elle paye le prix de son ignorance. Mais là encore, ce qu’il y a de pratique avec les ordonnances pénales, c’est qu’on se fout de la culpabilité de Christine, si HADOPI a trouvé l’IP de Christine sur Pirate Bay, c’est bien que Christine est une Pirate après tout ! Si HADOPI dit que tu es coupable, avec une preuve aussi irréfutable qu’une ip collectée sur un tracker torrent 🙂

3° WPA/AES/CCMP et WPA2/AES/CCMP sont amour et félicité … oui mais …

Bon Christine est bien décidée à ne plus se laisser piéger par un Jean-Kevin, après 4 heures de hotline avec son fournisseur d’accès, elle comprend enfin ce qui est arrivé à sa connexion wifi. A partir de là, deux choix s’offrent à elle :

a) se débarrasser de tout matériel wifi

b) changer son mot de passe et utiliser une méthode d’authentification plus blindée que le TKIP.

Christine finit donc par passer en AES/CCMP, elle a galéré pendant 4 jours pour comprendre pourquoi une carte wifi toute neuve achetée il y a à peine 4 ans ne fonctionne pas en WPA2/AES/CCMP… finalement elle finit par réussir à mettre à jour son driver qu’elle avait installé avec le cd fournit … il y a 4 ans … vous me suivez là ?

Mais voila Christine a oublié une chose, c’est que notre Jean-Kevin qui a gentiment fait tourner un DSNIFF sur le réseau local de Christine a maintenant accès à sa boite mail, à ses comptes, à son facebook … cependant, dans sa soif d’apprendre, Jean-Kevin ne se manifeste pas, il ne fait que récupérer la nouvelle clef WPA que vient de poser Christine. Certes il revient régulièrement, mais sans trop télécharger.

4° Et ton firmware bordel #@%#=#£@$@#!!!

Jean-Kevin s’est calmé, ok, mais son petit frère de 11 ans John-David , privé d’ordinateur par maman, se souvient d’un truc qu’il a lu sur le net … sur certains routeurs, il serait possible de reseter le mot de passe d’admin si l’interface web est accessible…  L’opération prend quelques seconde, elle est imparable … enfin elle le serait si ce #@#`@%#$@ de firmware du routeur était à jour.

En France, à peine 20% de la population disposant d’un routeur wifi met son firmware régulièrement à jour (croyez moi, ce 20% est ultra optimiste) … et pourtant il y a des raisons de le faire

Et voilà notre John-David w00t du router de Christine, ce fut très simple … comme un bête cross site scripting en sauvegardant ceci au format html sur son ordinateur, il est possible de tromper l’authentification du routeur !

Vous connaissez la suite … « bittorent, Hadopi, n’apuintairenette, juge, ordonnance, j’ai rien compris à ce qu’il m’arrive et je sais sûrement pas comment prouver mon innocence. »

De bonne foi, Christine se retourne contre son fournisseur d’accès après avoir engagé des frais de justice importants pour tenter de prouver son innoncence : tout y est passé, l’expert, l’huissier … et comme l’huissier est totalement incompétent, il constate que le pirate avait l’adresse ip 192.168.0.4, ip qu’il communique au juge, qui la communique au fournisseur d’accès, qui se prend une belle barre de rire et renvoit notre Christine dans les cordes enb lui filant le lien wikipedia de la définition d’une adresse ip public/privée agrémenté d’un gentil RTFM (Read the Fine Manual) de rigueur.

Christine s’en veut de ne pas avoir soutenu la Quadrature du Net … n’apuinternaitte ! Les 5 gus du garage avaient peut être raison.

Attention, maintenant Jean-Kevin est aussi sur iPhone

Les bon reflexes en Wifi, ils existent, le soucis, c’est que personne, ou une infime partie de la population ont ces reflexes. En instaurant un délit de sécurisation de la ligne internet (semble t-il maintenant abandonné par HADOPI2), le ministère de la culture brille par son ignorance de la réalité terrain et érige notre madame Michu au rang de Cryptographe L33tz s’étant tapé tous les PoC du DefCon et tous les exploits de milw0rm, une formalité puisque comme chacun le sait, notre Christine Michu lit les payloads en assembleur comme elle lirait le Figaro.

Ah oui ça aurait été bien tout ça, mais DefCon et milw0rm ont été blacklistés par la LOPPSI !

WHAT AN EPIC FAIL CHRISTINE !

Volontairement, dans ce billet je ne vous ai pas parlé des Rogues AP qui permettent de récuper les données personnelles des victimes, mots de passe, informations bancaires … tout y passe .. et c’est pas vraiment compliqué à mettre en oeuvre … mais évidemment, aucun des députés ayant voté en faveur du texte Création et Internet ou s’apprêtant à voter la LOPPSI ne se laisserait prendre à ce genre de choses. Ce sont tous des experts en sécurité informatique 🙂

FreeWifi : un nouveau pied de nez à HADOPI … et à SFR ?

free-open-meshAlors que Création et Internet, confortée par les affirmations d’Olivier Henrard, condamnait de fait le wifi communautaire, Free vient de réaliser ce qu’il convient d’appeler un coup de maître.
La problématique :
Quand un utilisateur nomade se connecte à un point d’accès public, l’adresse IP visible qui lui est attribuée est celle du point d’accès sur lequel il est connecté. Avec le dispositif mis en place par la loi Création et Internet, les internautes partageurs risquent en tout logique de voir leur connexion coupée si un internaute nomade indélicat télécharge depuis sa box. Typiquement, c’est le cas sur le réseau Neuf Wifi.
La réponse technique de Free
Free a donc réussit à apporter une réponse technique à l’authentification sur son réseau en octroyant au freenaute nomade une adresse ip unique, différente de celle du point d’accès sur lequel il est connecté. Ça c’est le premier effet KissCool qui relègue Neuf Wifi et Orange Wifi au rang de réseaux préhistoriques… particulièrement si la loi Création et Internet, venait, un jour, à être appliquée.
C’est bien joli le FreeWifi mais après ? … le 802.11s : le second effet KissCool
Alors que l’on annonce à tort le Wimax comme le successeur du Wifi (le wimax est une technologie opérateur alors que le wifi est une technologie domestique), on voit que depuis presque 3 ans des technologies novatrices se développent autour du wifi, apportant ce que le Wimax nous promet depuis des années … la belle arlésienne que voilà.
La fonctionnalité qui fait baver tous les nomades est sans aucun doute le roaming, ou la capacité pour un terminal d’accrocher une connexion d’un point d’accès à l’autre sans être déconnecté (de la même manière que le ferait un terminal téléphonique sur un réseau GSM). Si vous lisez de temps en temps ces pages, vous devez connaître mon attachement au projet OpenMesh… si vous ne connaissez pas et que vous avez un peu de mal avec la langue anglaise, allez jeter un coup d’œil ici.
Avec un réseau de 3 millions de Freebox V5, je vous avoue que j’ai la bave aux lèvres à la simple idée de voir Free mailler ces 3 millions de Freebox avec OLSR ou B.A.T.M.A.N (Better Approach to Mobile Ad-Hoc Networking) … Ces technologies de transmissions ad hoc qui permettent aux points d’accès de communiquer entre eux, d’acheminer du débit là ou il en faut, et dans un futur proche, d’agréger du débit.
Oui mais voilà, pour le moment, le chipset Ralink des Freebox V5 ce n’est pas la panacée pour faire de l’ad hoc… gageons que les développeurs de Free sauront, une fois de plus, porter une contribution majeure en améliorant le support du wifi maillé sur ce chipset largement répandu afin d’offrir à ses abonnés LE réseau wifi ultime.
Pourquoi un réseau maillé ? Wifi .. téléphone … licence 3g … VOIP … vous me suivez ?
Le wifi ne remplacera pas la 3G, ce n’est pas là son ambition, mais en zone urbaine, donner au wifi des supers pouvoirs est synonyme de nouvelles applications, de nouveaux usages et donc de nouveaux services à forte valeur ajoutée.
Et oui Free, je sais que tu peux encore mieux faire, je sais que tu vas le faire … surtout quand je vois ceci, je ne peux m’empêcher de penser que quelques développeurs géniaux de chez Free devraient prendre contact avec la non moins géniale Elektra si ce n’est pas déjà fait.

Hadopiproof Wireless Networking ?

Poussons un peu notre raisonnement pour entrevoir une fonctionnalité supplémentaire :
Nous avons dans un immeuble une trentaine de Freebox HD v5 avec un FreeWifi qui mesh … autant dans l’immeuble d’en face.
Imaginons maintenant que la faculté qu’ont ces Freebox de pouvoir communiquer plus ou moins directement entre elles puissent s’appliquer à un lan. Concrètement, le propriétaire d’une des Freebox se connecte à un réseau diffusé par sa freebox qui a la particularité de ne pas être connecté au net … il est juste connecté localement aux autres Freebox et grâce à UPNP (qui vient étrangement lui ausssi de faire son apparition dans un récent firmware de la Freebox), permet des partages locaux … et hop, vous venez de créer un wlan de quartier sur lequel vous pouvez échanger en toute tranquillité ce que vous souhaitez sans risquer de vous faire couper la connexion par HADOPI … elle est pas belle la vie ?

Science fiction ou prochaine innovation majeure de Free ? Les paris sont ouverts 🙂

Free, c’est 5 gus dans un garage qui ont peut être sauvé le wifi communautaire francophone … chapeau bas !

CoHacking Space : Pas Sage en Seine

image-51Le milieu informatique Underground vous intrigue, vous êtes développeur, simple internaute curieux, bidouileur à vos heures ?
Voici l’événement parisien à ne pas manquer, ça se passe les 4 et 5 juin à la galerie des Panorama, près de la Bourse, au métro Grand Boulevard, dans le 2e arrondissement. Il s’agit d’un cohacking space se tenant un peu en mparge de l’événement Futur en Seine. Un meeting sur 2 jours, un espace d’échange et de rencontre pour causer cultures alternatives, contenus libres (art libre, créative commons …) mais également hacking, sécurité, pratiques alternatives du Net et Hacktivisme…
C’est avant tout un espace contributif dans lequel vous pouvez vous aussi intervenir afin de présenter vos propres bidouilles et vos pratiques pas sages.

En savoir plus sur l’événement

C’est ouvert à tous, un appel aux thèmes de présentations est disponible ici si vous souhaitez vous aussi présenter quelque chose … de pas sage.

Pour ma part je serai évidemment présent, notemment pour causer techniques de contournement de l’HADOPI et usages alternatifs du Wifi.

Contourner HADOPI pour les nuls (partie 11) : IPODAH et VPN

image-31Comme prévu, HADOPI aura des effets assez pervers sur sur la population des internautes français. Première perversion : le chiffrement à outrance va se démocratiser et se généraliser. Ceci n’a l’air de rien mais peut vite relever du casse tête pour des problèmes plus sérieux que le téléchargement, comme celui de la sécurité intérieure … mais nous y reviendrons plus tard.
Aujourd’hui, ce qui nous intéresse, c’est les VPN, ou réseaux privés virtuels.
Il s’agit généralement de services payants (quelques euros) qui permettent à son bénéficiaire du surfer depuis une adresse IP non localisée sur le territoire national.
C’est parfaitement légal et difficilement contrôlable, en ce sens que les VPN sont largement utilisés depuis des lustres en environnement professionnel… c’est donc pas demain qu’on va les interdire.
Pour que la fête soit plus folle, il est évident que les services de VPN vont proposer un arsenal cryptographique pour pour masquer le contenu du trafic entre l’IP française et celle visible du VPN.
Autre regrettable erreur d’appréciation du législateur, les VPN sont nécessaires et fatalement appelés à se développer, particulièrement à cause de l’insécurité des hotspot wifi publics. Nous verrons dans un prochain billet que les hotspots, de par leur nature, sont sujets aux écoutes et interceptions de trafic (wireshark), et même de passwords (dsniff). Dans ces conditions, les VPN sont une solution idéale pour avoir la paix, même sur ces réseaux… ainsi j’avoue comme de nombreux professionnels, ne pas avoir attendu HADOPI pour utiliser un VPN.
Mais ce qu’il y a de magique avec HADOPI, c’est que tout ceci va se démocratiser : c’est en soit techniquement très simple à mettre en œuvre et les services payants de VPN, fort d’une nouvelle clientèle massive vont pouvoir proposer des tarifs ultra attractifs.
Parmi ces services, il y en a un qui semble assez prometteur, c’est IPODAH. C’est un projet d’origine française, qui propose un VPN sécurisé et anonyme, ses concepteurs pensent en ce moment même établir leur domiciliation numérique aux Pays-Bas. Ce service sera payant pour assurer une bonne qualité de service, c’est tout a fait normal.
Vous pouvez cependant déjà tester ce service (l’infrastructure est pour le moment en France), elle se délocalisera le moment venu si le Conseil Constitutionnel ou l’Europe n’arrêtent pas les velléités Big Brotheriennes de notre bien aimé président… ah ben oui le filtrage de paquets là vu comme ça pour la sécurité intérieure, ça va beaucoup moins bien marcher maintenant … ou comment l’HADOPI va favoriser le crypto terrorisme à l’insu de son plein gré…

Contourner HADOPI pour les un peu moins nuls (partie 1) : iodine encapsulation IP over DNS

Avant de commencer, j’ai une bonne et une mauvaise nouvelle
La bonne : Création et Internet ne prévoit pas d’amendement pour interdire les requêtes DNS
La mauvaise : si vous ne comprenez pas ce qu’est une requêtes DNS, je n’expliquerais pas dans le détail ce que c’est … mais commencez par ça;
Ce billet risque de paraître un peu étrange à certains, j’espère que les autres apprécieront. Vu les possibilités offertes par cette bidouille, je ne vous dirais même pas à quoi ça peut servir, utilisez votre imagination 😉
… bon ok je vous donne un indice : « point d’accès wifi public » …

On commence par lire attentivement ceci :

http://code.kryo.se/iodine/

Nous avons deux machines une première à la maison connectée au net (pensez à ouvrir les ports qui vont bien sur votre routeur … oui le 53) sur laquelle je lance après l’avoir installé iodined, le serveur qui va récupérer nos paquets magiques

On s’occupe d’abord du serveur, on commence par installer iodine. Dans notre exemple il s’agit d’une Debian Lenny mais iodine à même l’air de tourner sur un grille pain … (si vous avez de vielles foneras dont vous ne savez que faire … ).


$ sudo apt-get install iodine

On le configure comme il se doit :

$ sudo dpkg reconfigure iodine

Donnez lui une ip et attention, il vous faut un domaine, pour notre notre exemple notre machine est hysteria.mondomaine.com
… on vous demandera aussi un password pour le tunnel (et en plus c’est secure !).

On peut maintenant lancer notre serveur :

bluetouff@hysteria:~$ sudo dpkg-reconfigure iodine
[sudo] password for bluetouff:
Opened dns0
Setting IP of dns0 to 10.0.0.1
Setting MTU of dns0 to 1024
Opened UDP socket
Listening to dns for domain monserveur.mondomaine.com
Detaching from terminal...

On s’occupe de notre Bind maintenant :

montunnel IN A xxx.xxx.xxx.xxx
tunnel1 IN NS montunnel.mondomaine.com.

Voilà, maintenant occupons nous maintenant de notre poste client (à priori un ordinateur portable puisque c’est avec cette machine que vous allez désespérément rechercher un réseau wifi). Dans notre exemple, il s’agit d’un macbook pro, pas de soucis non plus on passe par les sources :


$ wget http://code.kryo.se/iodine/iodine-0.5.1.tar.gz
$ tar -xvzf iodine-0.5.1.tar.gz
$ cd iodine-0.5.1
$ ls
CHANGELOG README-win32.txt man
Makefile TODO src
README doc tests
$ sudo make
Password:
OS is DARWIN, arch is i386
CC tun.c
CC dns.c
CC read.c
CC encoding.c
CC login.c
CC base32.c
CC base64.c
CC md5.c
CC common.c
common.c: In function ‘do_detach’:
common.c:172: warning: ‘daemon’ is deprecated (declared at /usr/include/stdlib.h:283)
CC iodine.c
LD ../bin/iodine
CC iodined.c
CC user.c
CC fw_query.c
LD ../bin/iodined

et nous voilà prêts à voir si notre tunnel fonctionne (remplacez les xxx par l’ip de votre serveur iodined)

$ cd bin
$ sudo ./iodine -v -f -u votrelogin -P votrepass xxx.xxx.xxx.xxx monserveur.mondomaine.com

Tentez maintenant un petit ping sur 10.0.0.1 si tout est ok ça devrait passer via notre petit tunnel

Comme je vous le disais plus haut, il faut cependant disposer d’un nom de domaine (ne faites donc pas n’importe quoi avec cette astuce car ça laisse quand même des traces).

Et la lumière fût ! Lancez une requête finissant par montunnel.mondomaine.com … enjoy !

En jouant sur le MTU, vous pouvez optimiser le débit de la connexion, un nom de domaine et de sous domaine le plus court possible est aussi une bonne chose à cause de l’encapsulation.

Contourner l’HADOPI pour les nuls (partie 10) : Exploiter les petits bugs législatifs

pirate2HADOPI, ce n’est pas que des failles techniques, c’est aussi des failles juridiques qui fleurent bon le texte écrit à la va vite sans considération aucune de l’existant. Si comme moi vous êtes de la génération K7 et que vous ne disposez plus de magnéto pour les lire, faut-il pour autant vous asseoir sur toute votre discothèque parce que les fabricants ont abandonné ce support ?
Si vous êtes moins âgé que moi, il se peut aussi que vous achetiez des cd mais que vos habitudes d’écoutes font que vous soyez obligés d’injecter du mp3 dans votre baladeur ou dans votre autoradio.
Dans ces deux cas précis, il convient d’encoder ou de télécharger des œuvres que vous avez légalement acquises… oui mais voilà, il va falloir les télécharger sur des sites de p2p, puisque c’est là qu’ils se trouvent (vous n’allez pas vous payer un album en mp3 sur un iTune tournant dans une vm Qemu alors que vous disposez de l’original sur cd … nous sommes bien d’accord). La splendide offre légale ne prévoit aucun dispositif pour acquérir gratuitement et légalement les fichiers numériques d’un album que vous avez déjà acheté sous un autre support … et oui l’offre légale elle même est bien bugguée

Et dans la catégorie bugs législatifs, force est de constater que le texte Création et Internet ne prévoit pas ce cas de figure qui est pourtant affligeant de banalité en 2009… une forme de copie privée régie par le simple usage des outils d’aujourd’hui.

Prenons donc un cas de figure très simple :

  • Je dispose de l’intégrale de Jimi Hendrix en K7 audios
  • Je n’ai plus de magnéto fonctionnel
  • Je télécharge l’intégrale de Jimi Hendrix sur le Net
  • HADOPI me prend la main dans le sac et me colle un avertissement
  • Je conteste aussitot, mais comme il s’agit d’un avertissement, je n’obtiens même pas de réponse de la Haute Autorité
  • Comme j’ai beaucoup, vraiment beaucoup de K7, je me fais pincer un mois plus tard en train de télécharger mes vieux albums de Prince que j’ai, là encore, acheté le plus légalement du monde, je dispose toujours des orginaux, ils sont bien rangés, dans des boites couvertes de poussières, mais il sont bien là… second avertissement, par recommandé avec AR, seconde contestation (en envoyant 5 mails par contestation pour exiger une réponse concernant cet avertissement illégitime … et évidemment, pas de sanction donc pas de réponse).
  • De passage dans une FNAC, j’achète un album DRMisé, de retour chez moi et sur le point de partir en vacances, je tente d’encoder mon album pour pouvoir le lire depuis le lecteur mp3 dans ma voiture … ça ne fonctionne pas, je décide donc de télécharger les mp3 de cet album que je viens tout juste d’acheter.
  • Le sort s’acharne, HADOPI me coupe ma connexion … mais voilà elle coupe la connexion d’une personne qui ne contrevient pas la réglementation et applique une sanction injustifiée.
  • Rendez-vous au tribunal…

Et si on évitait maintenant de se poser en victime ?

Et si on téléchargeait en boucle (sans les partager) des œuvres que nous avons légalement acheté, comme ça juste pour générer du trafic juste pour le plaisir de contester avec 10 mails par avertissements les mises en garde de l’HADOPI sensée traiter 10 000 cas par jours …

Au bout de quelques passages devant les tribunaux et après avoir plumer la Haute Autorité en dommages et intérêts il y a fort à parier que la copie privée légale poserait un énorme problème à l’HADOPI et générerait un taux d’erreur très important (l’astuce est de télécharger plusieurs fois et en permanence des œuvres que vous avez légalement acquises … juste pour le plaisir de vous prendre un avertissement et de le contester puissance 10 pour engorger les boites mails de la haute autorité … voilà c’est aussi bête que ça.

Contourner l’HADOPI pour les nuls (partie 9) : la bibliothèque municipale

mediathequeLa problématique de l’accès à la culture n’est pas un phénomène récent contrairement à ce que certains aimeraient nous faire croire. Aussi, les bibliothèques et médiathèques municipales sont une solution de proximité accessible et relativement bien fournie pour peu que vous habitiez dans une grande agglomération.
Qu’est-ce qu’une bilbliothèque ou une médiathèque municipale sinon une licence globale avant l’heure ? Un usager s’abonne et peut bénéficier de l’emprunt (et donc copier bien tranquillement) toute œuvre disponible.
Pourquoi ne pas aller directement s’y servir et encoder sur place, sur son ordinateur portable, ou chez soi, les œuvres qui y sont disponibles ?
Dans le cadre de ses études, un étudiant photocopiant une partie d’un livre n’est pas blâmable, pourquoi le serait-il s’il copiait un film ou une musique afin d’appuyer sa réflexion par le biais d’un support sonore ou vidéo …

Alors oui, vous allez me dire qu’une bibliothèque ou une médiathèque s’acquitte des redevances qui vont bien aux ayant-droits … mais n’est-ce pas là ce que proposait la licence globale ?
D’ailleurs, la SACEM, comme nous le prédisions depuis plusieurs mois, n’a pas attendu bien longtemps pour nous faire le coup du « Petitgirard » qui une fois acquis le beurre et l’argent du beurre, lorgne sur les fesses de la crémière… voir les commentaires de ce billet.

Contourner l’HADOPI pour les nuls (partie 8) : l’échange local et le Wifi Maillé

openmesh-accton-288x300

Une solution un peu plus nerdy que les autres présentées jusque là, mais franchement très simple à mettre en œuvre, pour moins de 70 euros, elle permet à un groupe de personne géographiquement pas trop éloignées dans un premier temps, puis beaucoup plus éloignées au fur et à mesure que le réseau grossit, d’échanger des fichiers en wifi, sans passer par internet… oui vous m’avez bien lu, sans passer par internet !
L’avantage de cette solution est donc de contourner l’HADOPI, mais également TOUTE FORME DE FILTRAGE EMANANT DES FOURNISSEURS D’ACCES !

Pour cela il va vous falloir un petit boîtier wifi (un point d’accès) supportant le firmware d’Open-Mesh. C’est le cas des :

  • Foneras 1 modèle 2200 : sûrement la solution la plus économique, surtout si vous en avez déjà une. Attention quand FON livre des foneras 1, ils ne seront pas en mesure de savoir s’ils vous livreront une fonera1 modèle 2100 ou 2200, seul le modèle 2200 fonctionnera correctement avec le firmware Open-Mesh
  • Fonera 2 : il a un avantage sur les autres solutions présentées ici, elle dispose d’un port USB pouvant accueillir un disque dur externe, je n’ai pas encore pu tester cette fonctionnalité avec Open-Mesh mais en clair ceci vous permet de continuer à échanger ordinateur éteint !
  • OMP1 : c’est le point d’accès ultime, équipé en standard du POE (Power Over Ethernet) et d’un chipset Watchdog capable de redémarrer le point d’accès en cas d’incident réseau (rupture de signal d’un node) ou d’un incident électrique. Il est livré en standard avec le firmware Open-Mesh, donc particulièrement simple à mettre en route
  • Accton Open-Mesh première génération : une solution clef en main qui comme la première vous présente le routeur pré-configuré

D’autres solutions sont également compatibles avec Open-Mesh, c’est le cas des AP derniers cri d’Ubiquity, d’Engenius et de Wiligear.

Le concept est imparable il suffit de créer un réseau maillé permettant de répéter la connexion internet et d’étendre le wlan (réseau local sans fil). Sur l’interface d’OpenMesh c’est la fonctionnalité « join network ». Ensuite il vous suffit de partager un répertoire dans lequel les fichiers à partager seront situés, ainsi, toute personne disposant d’un boîtier précité pourront rejoindre le réseau que vous avez créé ce qui aura pour effet d’accéder à vos ressources partagées (moyennant une petite configuration en 2 clics sur l’interface web d’Open-Mesh).

Open-Mesh propose en standard 2 réseaux : un ouvert et un chiffré. Contrairement à la Fonera, vous n’avez pas pour obligation de laisser un réseau ouvert, vous pouvez choisir de chiffrer les deux réseaux, et le mesh fonctionnera toujours, il faudra simplement partager la clef WPA de ce réseau avec les personnes qui souhaitent le rejoindre. Ainsi il est très simple de créer un réseau de confiance invisible (en choisissant de ne pas broadcaster le SSID, le nom de votre réseau).

Open-Mesh est une solution entièrement libre, œuvre de Michael Burmeister Brown, entre autres, architecte de Meraki, qui couvre la ville de San-Francisco (mais qui a eu la mauvaise idée de fermer ses boîtiers et de tourner le dos à l’Open Source en bridant son firmware).

L’interface d’OpenMesh est à la portée de tous :

dash21

openmesh1

openmesh2

addnode

Vous pouvez étendre la portée de votre réseau Open-Mesh à plusieurs centaines de mètres en agglomération, et à plusieurs kilomètres en zone rurale avec des antennes facilement trouvables sur Ebay (une trentaine d’euros pour les Yagi (directionnelles) et moins d’une dizaine d’euros pour les omnidirectionnelles :

Voici le Gateway, relié à une connexion internet

omniantenna-openmesh

Et voici le répéteur qui dégroupe la Lozère 😉

ap21

ap1

antenne1

Contourner l’HADOPI pour les nuls (partie 7) : encore les emails mais cette fois ci avec PGP sur Windows

pgp_logoAndré Loconte vient de pondre un excellent tutoriel d’utilisation de PGP sur Windows. PGP (Pretty Good Privacy) est un outil cryptographique servant à signer et chiffrer vos mails. Évidemment, PGP sait aussi crypter les pièces jointes.
L’approche proposée ici sert, avant tout, à garantir que votre correspondance personnelle reste personnelle. Avec les dispositifs de filtrage non précisés que le gouvernement souhaite mettre en place, ceci reviendrait à donner à la Poste le droit d’ouvrir votre courrier avant de vous l’acheminer. Une situation ubuesque que nous souhaitons tous éviter dans la vie réelle pour un courrier matérialisé, comme pour nos correspondances électroniques. Mais comme les dispositifs de filtrages sont rarement intelligent, autant utiliser une boite blindée au teflon en lieu et place d’un cyber carton de Colissimo.
Je vous invite donc à lire avec attention ce tutoriel si vous souhaitez que dans un futur plus ou moins proche, l’HADOPI ou votre fournisseur d’accès reste en dehors de votre privée.

Contourner l’HADOPI pour les nuls (partie 6) : les pièces jointes d’emails

image-6Nous avons sombré dans l’absurde, mais ne vous inquiétez pas, on peut encore toucher le fond ! Le gouvernement pourrait interdire les pièces jointes dans les emails.
Les espaces de stockages de boites mails ont très sensiblement augmentés ces dernières années, sur un compte Gmail, on peut par exemple stocker pas moins d’une dizaine de films en divx ! D’ailleurs, des services en ligne proposent de se servir des espaces de stockage de ces boites mail en les transformant en disque dur virtuels avec le toolkit qui va bien pour envoyer du lourd. C’est d’une simplicité déconcertante.
Si un mp3 ne posera pas de problème à envoyer en pièce jointe d’un mail, il faudra ruser un peu pour les films.
Seul frein, la taille des pièces jointes, mais la encore la parade est d’une simplicité enfantine et les techniques de posts utilisées sur les newsgroups ont donné naissances à des petits logiciels capables de découper de gros fichiers en dizaines de petits fichiers compressés et concaténés. C’est ce que propose Split&concat, Quickpar, par2cmdline …et de nombreux autres que je vous laisse découvrir en googlisant un peu.

Irons nous vers un filtrage généralisés des pièces jointes de nos courriers électroniques ? Le « contre logiciel » de l’HADOPI aura t-il la capacité de lire nos correspondances privées afin de dénicher des fichiers illégaux en pièce jointe ? Nous devons nous en inquiéter aujourd’hui, demain il sera trop tard.