#Cablegate : une négligence caractérisée… caractéristique

Telecomix Crypto
Telecomix Crypto Munitions Bureau

Alors que la confusion règne toujours sur les circonstances de la diffusion des câbles des diplomates américains, la France a exprimé sa solidarité à Washington. Et pourtant, nous n’en sommes qu’au début. Quid des révélations chocs promises par Julian Assange lors de sa visioconférence de presse d’hier dans laquelle le leader de Wikileaks promettait à propos des assassinats au Timor Oriental ou sur les agissements des banques américaines.

N’était-ce là que des amuse-gueules ? Il y a fort à parier que oui. Pourtant, Wikileaks semble avoir changé de stratégie et la perspective de voir arriver de nouvelles révélations au comptes goutte marque un intéressant revirement de situation. Tout le monde s’attendait à un lâché de casseroles d’anthologie, il va donc falloir attendre encore un peu.

Le temps de revenir sur la supposée source de cette fuite. Le monde semble désigner Bradley Manning, jeune militaire en poste en Iraq qui a pu accéder aux réseau militaire et au réseau diplomatique du SIPRNet.Bradley Manning a été arrêté peu après la diffusion par Wikileaks d’une video qui avait fait grand bruit, dans laquelle un hélicoptère de l’armée américaine ouvrait le feu sur un groupe de civils… une bavure de guerre, une frappe un peu trop chirurgicale…un carnage.

Bradley Manning est décrit comme une jeune homme désoeuvré, un idéaliste… c’est limite si la presse ne le taxe pas de niais. Et pourtant, Manning a accédé sans aucun problème à des informations sensibles, et les a semble t-il diffusé sans grand mal, sans que personne ne s’en aperçoive. Aujourd’hui, l’Administration américaine a annoncé de nouvelles mesures de sécurité relatives à l’accès au SIPRNet.

Dis… c’était comment avant ?

Et bien c’était assez rock’n roll, se confiant à Lamo (un célèbre hacker qui s’est fait pincer et qui, anxieux de se voir inquiété, a aussitôt prévenu les autorités de ses échanges avec Manning) , Manning explique que c’est un peu la fête du slip, mots de passe faibles, accès au réseau physique ultra laxiste. Le jeune militaire décrit à Lamo “des serveurs faibles, des mots de passe faibles, une sécurité matérielle faible, un contre-espionnage faible, une analyse bâclée… ” C’est ce qu’on appelle chez nous en France depuis Hadopi un “délit de négligence caractérisée”.

Des pratiques sécuritaires en question

La presse allemande ne s’est pas privée de pointer du doigt les défaillances qui ont donné la possibilité à Manning de faire fuiter une telle masse de documents. Nous avons vu il y a quelques semaines qu’il pouvait être relativement aisé pour une personne mal intentionnée de mettre la main sur des informations d’apparence anodines, qui mises bout à bout avec une ou deux failles non patchées par manque de moyens ou tout simplement par manque de volonté, pouvait donner accès à des choses plus ou moins embarrassantes.

Et pendant ce temps en France…

Une telle fuite serait-elle possible en France ? C’est une question qu’on est en droit de se poser. Je serai tenter de vous dire que non, du moins pour les informations qui concernent la défense ou la diplomatie. Je suis en revanche beaucoup plus réservé sur l’éventualité de voir un jour sur le Net apparaître certains fichiers plus ou moins licites de certaines officines. Rappelons qu’il est déjà arrivé qu’au moins une fois, une personne non acréditée accède au réseau  interministériel Rimbaud (ou ISIS). J’en connais qui ferait bien de tenir leur gosse à l’oeil.

Mais bon, notre problème à nous en France, ce n’est pas ce genre de choses, nous préférons nous concentrer sur madame Michu pour nous assurer que sa connexion ne serve pas à télécharger le dernier tube de René la Taupe. Notre pays est d’une étonnante subtilité.

De la négligence caractérisée… comment avons nous pu en arriver là ?

Je me permet de vous livrer une petit réflexion rapide sur la dangerosité de la contravention pour négligence caractérisée introduite par le législateur dans HADOPI. Ce n’est évidemment pas le première fois que j’en parle ici, mais l’absurdité de ce terme, “négligence caractérisée” me fait me poser beaucoup de questions. Je me permet donc de réfléchir un peu tout haut…

Commençons par le pourquoi :

Devant un phénomène massif, il a fallu permettre une (in)justice expéditive se passant du juge. Sans crime constitué et avec un délit sans preuve valable, le législateur a du trouver un subterfuge, à savoir une ruse, un moyen détourné visant à se tirer de l’embarras.

  • Premier point, le plus évident, et pourtant visiblement pas assimilé du tout par la député Marland-Militello qui aime à afficher sur son blog que les internautes téléchargeurs sont des criminels qui tuent les artistes : en droit, un simple téléchargement, particulièrement dans le cadre d’un échange sur les réseaux P2P, peut difficilement être assimilé à un crime contre la propriété car ce terme désigne un transfert illégitime de propriété. Une oeuvre immatérielle qui s’échange ne change rien à la notion de propriété d’une oeuvre de l’esprit (son auteur continue à jouir de la propriété pleine et entière de sa création, même si cette dernière est dupliquée : il n’y a pas de soustraction, mais multiplication). Un tribunal requalifierait donc immédiatement un “crime de téléchargement d’un MP3 d’Enrico Macias” en une infraction mineure. Un téléchargement n’a jamais tué personne, ni un artiste, et encore moins la création. Les discours de Nicolas Sarkozy à ce propos sont ridicules, tant sur le plan de la création que sur le plan juridique, et plus que discutables, sur le plan économique.
  • Le délit de contrefaçon ( article L. 335-3 du Code de la propriété intellectuelle) était lui aussi proscrit. Pourtant, tout indiquait qu’il pouvait se matérialiser par des preuves tangibles… mais nécessitant une commission rogatoire, et une véritable action judiciaire pour constituer un dossier de preuves plus solide qu’une adresse IP collectée sur un tracker torrent (ça va vous seedez toujours là ?). En droit, est considéré comme un délit une infraction entraînant une réparation : par exemple des dommages et intérêts, ce qui nécessite l’estimation d’un préjudice, quasiment impossible à évaluer dans le cadre d’un téléchargement (dans la pratique du P2P, ce n’est pas parce que l’on télécharge ou que l’on met à disposition une oeuvre qu’on aurait couru l’acheter à la FNAC, et encore moins qu’on serait allé la revendre dans le métro à la sauvette comme c’est maintenant le cas grâce à HADOPI). Le téléchargement étant devenu un usage en plus d’une décennie pendant laquelle les majors se sont grattées le derrière en se demandant comment elles allaient pouvoir gagner plus d’argent grâce à Internet, le délit de contrefaçon était une réponse anecdotique à un usage massif.
  • Une contravention est en droit pénal l’infraction la moins grave. La sanction maximale d’une contravention est une amende de 3000 euros. La contravention pour négligence caractérisée a fixé son plafond à 1500 euros et prévoit une sanction assortie qui est la coupure de la connexion de l’abonné (dont le préjudice réel peut, de très loin, dépasser le plafond maximal d’une contravention). Nous disposions en plus dans le droit français d’un exemple concret en application : celui des radars routiers dont on a eu de cesse de nous rebattre les oreilles pendant les débats sur HADOPI. Mais voilà, Christine Albanel a eu beau nous exposer ses arguments, elle n’a pas plus convaincu les internautes qu’elle n’arrive à convaincre ses nouveaux collègues d’Orange. En effet, il est rarissime qu’un automobiliste change de plaque d’immatriculation avant de passer devant les radars, alors qu’HADOPI incite les internautes à changer d’IP avant de se faire flasher ou reflasher par les sondes de TMG, société privée à qui les ayants-droits ont confié la mission de s’occuper de leurs radars (oui j’ai bien dis sondes et j’y reviendrai dans un prochain billet). Mais si vous m’avez bien suivi ça nous donne des sociétés privées, qui mandatent d’autres sociétés privées pour se faire justice elles-mêmes… et ça en droit français, à ma connaissance, c’est une nouveauté… dangereuse. Enfin la sanction est confiée à une haute autorité administrative qui n’est ni un tribunal de police, ni une juridiction de proximité, qui étaient pourtant jusqu’ici seuls habilités à sanctionner ce type d’infractions. Dans un état de droit, ceci est susceptible de constituer une dérive inquiétante.

Quand le pourquoi “massif” explique un comment “ridicule”

Et c’est là, qu’on sombre dans le comique… le législateur, qui dans plus de  80% des cas n’est pas fichu de faire la différence entre son système d’exploitation et le contenu de son navigateur, a décidé de pointer du doigt le défaut de sécurisation de la “connexion Internet” pour matérialiser l’infraction de la contravention. Juridiquement, la loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur Internet (vous noterez que le nom même de cette loi est un mensonge de bas étage puisqu’elle ne favorise en rien ni la création ni la diffusion des oeuvres, la récente disparition de Jiwa est encore là pour nous le rapeler) modifie l’article L. 335-3 du Code de la propriété intellectuelle définissant le délit de contrefaçon, et ajoute une contravention pour négligence caractérisée qui n’annule en rien le délit de contrefaçon, laissant ainsi planer le spectre d’une double peine, et même d’une triple peine si on y ajoute la coupure de connexion.

Et enfin le risque

Quand on inscrit dans le corpus législatif une telle monstruosité, on est en droit de s’inquiéter sur l’applicabilité à des crimes, et non plus des délits ou des contraventions. Imaginez donc un seul instant, que la négligence caractérisée s’applique à une personne qui n’a pas su “sécuriser sa connexion” et qui s’est retrouvée victime de l’inoculation d’un cheval de Troie servant par exemple à diffuser des contenus pédophiles par vagues de spams. Le propriétaire de la machine, qui est aussi la victime d’un piratage, se trouve donc accusé d’une contravention pour négligence caractérisée, sur des faits passibles d’assises. Ces dérives sont malheureusement bien réelles aux USA ou des personnes sont emprisonnées à tort pour des faits de détention ou diffusion de contenus pédopornographiques. Le cynisme de la contravention pour négligence caractérisée est qu’elle équivaut à un “bien fait pour ta pomme” aux victimes d’intrusions dont la vie se retrouve brisée.

Mon sentiment

Je ne suis pas juriste mais il y a pas mal de choses qui me dérangent sur le fond comme sur la forme. Cette contravention est ridicule tant dans ses fondements que dans ce qu’elle prétend sanctionner. Elle vient se poser en épouvantail, en amont d’un délit de contrefaçon, lui bien applicable, mais en terme de dissuasion, impossible à gérer car il nécessite trop de moyens dans sa mise oeuvre à grande échelle pour répondre au téléchargement devenu un usage massif sortant du cadre de l’exception au droit d’auteur alors que l’on paye pourtant une taxe sur la copie privée (cherchez l’erreur, elle est soit fiscale soit législative, mais il y a bien là encore une incohérence car on taxe une pratique déclarée illicite… ).

L’ applicabilité de la contravention pour négligence caractérisée pourrait bien se voir compromise au moindre déferrement devant un tribunal, ce qui m’invite à penser que si l’étape 2 du dispositif, c’est pas pour demain, l’étape 3, à savoir la coupure de connexion, ne sera jamais appliquée. D’ailleurs il est entendu par circulaire de la chancellerie que les tribunaux n’ont aucune envie de voir défiler le produit d’une telle sotise.

Enfin, la négligence caractérisée, pour défaut de sécurisation de l’accès Internet, est d’une hypocrisie sans faille, qui consacre le terme de “sécurité” à la surveillance d’une connexion contre un usage, qui est le téléchargement, au lieu de porter son dévolu sur une notion fondamentale et à laquelle chacun à droit : la protection de ses données personnelles qui fait pourtant en pratique tant défaut à de nombreuses sociétés et administration qui en exposent par dizaines de milliers. une situation d’un cynisme inacceptable.

Le scandale des sites gouvernementaux qui se négligent

white hat hacking

Vous m’avez, moi comme d’autres, souvent entendu pester sur le stupide délit de négligence caractérisée et l’obligation légale faite à l’internaute de sécuriser une belle abstraction légale : “la connexion Internet». Comme sur Internet plus qu’ailleurs, niveau sécurité, les conseilleurs sont rarement les payeurs, nous avons décidé, avec Paul Da Silva et Paul Rascagneres (RootBSD), d’aller jeter un oeil sur le pas de la porte des conseilleurs… comme on s’en doutait : c’est moche. Nous pourrions vous dire que nous avons été surpris… mais soyons sérieux, nous ne l’avons pas été le moins du monde.

Dans le titre, comme vous le constatez, j’emploie le terme un peu fort de scandale. Je vous dois une explication là dessus. Avoir un site web qui comporte des trous de sécurité, ce n’est pas une honte, ça arrive à tous, on sait qu’une faille 0day (même si les 0day sont dans les faits très rarement exploités) peut suffire à compromettre une machine, puis par effet de rebond, tout un système d’information, puis plusieurs. Il suffit d’exploiter les informations collectées à un endroit pour se retrouver résident d’un système. Le vrai scandale, c’est quand un prestataire alerte d’une faille importante et que les personnes en charge d’un  site web gouvernemental qui exposent des données personnelles de fonctionnaires refusent à ces prestataires , depuis des mois, des années, l’intervention nécessaire à la correction de cette vulnérabilité… pas vu pas pris…

Ce que le texte d’HADOPI appelle pudiquement le manque de diligence à sécuriser son accès doit il être appliqué aux internautes ? En ce qui nous concerne, nous avons la conviction qu’il est bien plus grave qu’un site gouvernemental “manque de diligence” à fixer des trous de sécurité qui par escalation de privilèges peuvent mettre en péril certaines infrastructures sensibles de l’État… et d’aller crier à la presse que nous sommes la cible de hackers chinois

Il faut donc que cette hypocrisie cesse au plus vite, ou que des garanties sérieuses soient données aux particuliers pour être en mesure de se défendre. Si cette absurde circulaire de la chancellerie était appliquée, à ce jour nous pourrions très bien faire déconnecter ou bloquer  un site gouvernemental (à quand le blocage des sites sauce Loppsi pour lutter contre les pirates ?) en y uploadant quelques mp3 et quelques divx… comme ça, juste pour rigoler.

Puisque l’Elysée ne semble pas convaincu de la nécessité de se référer à des experts avant d’orienter une législation vers une bourde certaine, nous allons concourir à l’y encourager un peu.

Rentrons dans le vif du sujet

Nous découvrions récemment avec surprise que le gouvernement, qui avec la loi Hadopi instaure le délit de négligence caractérisée, n’était pas mieux logé que les autres – bien au contraire. Le délit de négligence caractérisée vise à punir celui qui, par manque de compétences techniques notamment, ne “sécurise” pas son accès à internet si celui-ci venait à être utilisé à des fins de piratage (au sens de contrefaçon… il est important de le préciser vu que même le terme de piratage est ici sujet à caution). Une belle hypocrisie quand on sait que le niveau technique requis pour sécuriser ce qui est en mesure de l’être par un abonné final est très élevé et que, même comme cela, il est toujours possible d’usurper l’identité d’un abonné pour le faire paraître coupable (avec cette fois un niveau de compétences très relatif).

Nous (RootBSD, Bluetouff et Paul) avons décidé d’élever le débat et de vérifier si l’Etat lui même applique à son parc de sites internet les mêmes recommandations que celles qu’il souhaite voir ses concitoyens adopter.

A l’attaque !

Pour ce faire la méthode a été très simple : quelques minutes par site, des recherches de failles très basiques et à la portée de n’importe quel pirate en herbe… Occasionnellement des découvertes de documents dans des répertoires accessibles à tous et, si d’aventure on venait à tomber sur une faille un peu plus sérieuse (oui c’est le cas) passer un peu plus de temps dessus pour essayer de la faire parler. Tout l’art étant de la faire parler sans l’exploiter afin de ne pas se rendre coupable d’intrusion.

Le résultat est au delà de ce que l’on aurait pu imaginer en lançant, le 29 août vers 23h, ce capture the flag d’une envergure sans précédent (3 gus dans un garage) qui se finira le 30 août aux alentours de la même heure… Nous avons décidé de patienter jusque là pour publier ce billet mais l’actualité nous a enfin convaincu à vous livrer les résultats de nos travaux nocturnes.

Comme dit précédemment nous nous sommes concentrés sur des failles simples à trouver ou à exploiter et la liste de celles découvertes est assez évocatrice :
  • Une vingtaine de XSS ;
  • 2 LFI ;
  • Des dizaines de documents accessibles au publics et qui ne devraient pas l’être (certains marqués “confidentiel”) ;
  • Des authentifications défaillante (ou inexistantes !) d’accès à des intranets ;
  • Un grand nombre de fichiers robots.txt qui ont bien orienté nos recherches (merci 🙂 ) ;
  • Des accès aux zones d’administration / phpmyadmin comme s’il en pleuvait ;
  • Des CMS non mis à jour depuis plusieurs années ! Et présentant des vulnérabilités bien connues ;
  • Des logs d’envois de mails / newsletter / de connexion FTP / …
  • Un site en debug qui laisse, si l’on saisit la bonne url, voir les identifiants et mot de passe de connexion à la base de données ;
  • Un script SQL de génération de base de données.
Le XSS ?

Le XSS (Cross Site Scripting) est une faille qui permet de faire exécuter un script arbitraire (initialement non prévu par le site sur lequel on va le faire exécuter) en changeant certains paramètres de l’URL.
Il peut permettre de voler des identifiants de session ou des cookies si il est suffisamment bien utilisé et que ladite URL est envoyée à une personne connectée. Il permet aussi de transformer l’affichage du site pour afficher, par exemple, des formulaires invitant à la saisie de données personnelles qui seront ensuite transmises à un autre site. Pour finir il est egalement possible via du javascript executé sur le navigateur de récupérer des informations personnelles (historique, geolocalisation, …) mais également de récupérer des informations sur le reseau auquel est connecté la personne (scan du reseau,…).

Le LFI ?

Le LFI (Local File Inclusion) est une faille qui permet d’inclure un fichier présent sur le serveur dans la page en cours de visionnage. Ceci peut permettre par exemple de récupérer un fichier de configuration, des logs, certains fichiers confidentiels, … Dans certains cas de figure (nous l’avons vu lors de notre exercice) il est possible d’exécuter du code (php) et donc d’avoir un accès distant sur le serveur vulnérable. Cet accès peut permettre de voir des fichiers, d’en éditer (pages web,…), de lancer des programmes, de rebondir vers d’autres serveurs, télécharger des fichiers (illégaux ?)…
Pour l’exploiter il faudra spécifier le chemin du fichier à récupérer dans l’URL mais ceci est relativement simple à faire lorsque le serveur qui héberge le site en question autorise le listing des répertoires ou l’affichage d’erreurs comme c’est le cas sur presque tous les sites que nous avons visité.

La liste !

Pour des raisons évidentes (on préfère le confort de notre garage) nous ne pouvons pas diffuser les failles trouvées, nous allons en revanche vous lister publiquement tous les sites qui présentent ces vulnérabilités. Nous vous livrons cependant quelques éléments – les moins graves ou deja corriges – découverts pendant cette chasse à la faille.
Une version non censurée de cette liste sera livrée aux autorités afin que ces dernières puissent faire suivre à qui de droit pour que ces failles soient corrigée, ainsi qu’à quelques journalistes si ces derniers s’engagent à ne pas diffuser ces failles tant qu’elles n’ont pas fait l’objet d’une correction.

Ce qui est montrable car corrigé :

  • Sur le site http://interactif.service-public.fr, une splendide Local File Inclusion permettait d’executer du code PHP depuis le site référent en lisant un peu les logs de sa propre connexion. En formattant une URL bien sentie comme celle ci. Il devenait par exemple possible d’obtenir le mot de passe de la base de données.Voici une capture d’un log Apache obtenu par local file inclusion

LFI Service Public
  • Nous avions également pu constater à cette période non moins splendide XSS dans l’application de recherche de l’Assemblée Nationale que l’on retrouvait d’ailleurs sur d’autres sites gouvernementaux dans sa version non patchée. Nous n’allons pas revenir là dessus, tout est ici.
Ce qui n’est pas montrable pas pour l’instant :
Nous avons identifié des vulnérabilités plus ou moins graves sur les sites suivants :

http://questionsfrequentes.service-public.fr/
http://www.stats.environnement.developpement-durable.gouv.fr/
http://www.csti.pm.gouv.fr/
http://www.somme.pref.gouv.fr/
http://questionsfrequentes.service-public.fr/
http://larecherche.service-public.fr/
http://ddaf18.agriculture.gouv.fr/
http://www.service-civique.gouv.fr/
http://www.immigration-professionnelle.gouv.fr/
http://www.prospective-numerique.gouv.fr/
http://forum.assemblee-nationale.fr/
http://agriculture.gouv.fr/
http://www.rhone-alpes.travail.gouv.fr/
http://www.cnml.gouv.fr/
http://www.projetsdeurope.gouv.fr/
https://www.adele.gouv.fr/
http://www.education.gouv.fr/
http://www.pollutionsindustrielles.ecologie.gouv.fr/
http://recherche.application.developpement-durable.gouv.fr/
http://www.projetsdeurope.gouv.fr/
http://www.cnml.gouv.fr/
http://www.premar-manche.gouv.fr/
http://recherche.application.equipement.gouv.fr/
http://www.coe.gouv.fr/
http://www.ofpra.gouv.fr/
https://admisource.gouv.fr/
http://www.datar.gouv.fr/
http://www.ira-lyon.gouv.fr/
http://www.droitsdesjeunes.gouv.fr/
http://sig.ville.gouv.fr/
http://www.telecom.gouv.fr/
http://www.hci.gouv.fr/
http://www.oncfs.gouv.fr/
http://www.cas.gouv.fr/
http://www.permisdeconduire.gouv.fr/
http://www.europe-en-france.gouv.fr/
http://www.fonction-publique.gouv.fr/
http://www.cete-nord-picardie.equipement.gouv.fr/
http://www.minefi.gouv.fr/
https://mioga.minefi.gouv.fr/


Qu’en déduire de l’applicabilité de la négligence caractérisée ?

Ce type de failles est très simple à exploiter, prévenir ou corriger. Cependant elles sont bien là, bien présentes, dans des institutions qui disposent d’une direction informatique et de moyens, là où le particulier est lui abandonné à son triste sort, condamné à faire confiance à une solution de “sécurisation”, en fait un HADOPIPOWARE qui crée plus d’insécurité qu’elle n’en crée.

Dans ce contexte, il nous apparait injuste, voire hypocrite, de faire peser sur le particulier une présomption de culpabilité et de lui interdire d’office tout droit à un procès équitable alors qu’il est lui même victime d’une exposition de ses données personnelles.

Rappelons au passage qu’une institution, même publique, au même titre qu’une entreprise, a elle aussi un devoir de sécurisation des données personnelles de tiers qu’elle stocke. Nous avons ici pu constater que ce n’était pas tout à fait au point. Si la multitude d’entreprises qui a travaillé sur ces différents sites n’est pas capable de sécuriser son travail alors qu’il s’agit de leur métier comment peut-on demander à la boulangère du coin, au maçon du centre ville ou à n’importe quel non-expert en le domaine de faire mieux ?… Et pourtant, tout indique que les entreprises en question étaient bien au courrant de certaines de ces vulnérabilités, en fait, elles en auraient même avertis les administrations concernées qui ont semble t-il manqué de diligence à combler les trous. Nous tenons évidemment ces informations de la bouche de certains de ce prestataires, et nous croyons en leur bonne foi.

Certaines failles découvertes ici (en 24h est-il besoin de le préciser à nouveau ?) permettent de prendre le contrôle du serveur si elles sont exploitées correctement. Qu’arrivera-t-il quand un pirate moins bien intentionné que nous décidera d’en exploiter une pour prendre le contrôle d’un serveur loué par l’état et d’y lancer des téléchargements par exemple ? Un site web, quelques données personnelles, un ou deux mots de passe, et voici une banale histoire de système sensible compromis…

Les sites visités et les failles ici révélées, nous permettent de prendre la mesure de l’inadaptation de la réponse proposée par la loi Création et Internet. Les premiers envois de mails que l’on nous promet imminents interviennent alors qu’aucun dispositif des sécurisation labellisé par la HADOPI n’a pas encore vu le jour. Il est d’ailleurs probable qu’à moins de se compromettre dans une labellisation hasardeuse sur des dispositifs qui opèrent une surveillance mais ne sécurisent en rien une connexion, ce projet reste lettre morte.En attendant, la consultation de la Haute Autorité sur cette question a été prolongée jusqu’à fin octobre, il est important que les professionnels qui y répondront gardent en tête une chose :
  • Soit on spécifie un dispositif imaginaire qui patchera même les failles des applications des postes clients alors que les éditeurs de ces applications ne les patchent pas eux mêmes.
  • Soit on spécifie un mouchard avec toutes les conséquences en terme de sécurité et de viol de vie privée que ceci implique.

… messieurs, vous êtes maintenant face à vos responsabilités. Soit nous poursuivons une stupide course à l’armement que l’État ne peut gagner, soit les autorités, les hackers et les politiques se mettent autour d’une table pour entamer un dialogue sérieux et éclairé.

Par 3 gus dans un garage
Paul Da Silva
Paul Rascagneres (aka RootBSD)
Olivier Laurelli (Bluetouff)

Négligence caractérisée à l’Assemblée Nationale ?

Assemblée nationale négligence caractériséeBon ça va être très court, il n’y a pas de quoi en faire un plat, mais ça ne manquera pas d’en faire sourire quelques uns.

Et dire que ces gens souhaitent que madame Michu sécurise sa connexion …

Pour faire simple, le champs de recherche de l’Assemblée Nationale accepte les iframes (en fait tout et n’importe quoi, Javascript compris), le tout sans validation… la classe quoi !

C’est assez amusant même si ça n’implique pas de graves conséquences… Au moins vous pourrez faire quelques screenshots rigolos à envoyer à vos élus ou vous rappeler au bon souvenir de Monsieur Riguidel.

Allez hop, c’est par ici

Merci @gallypette et @r00tbsd pour le troll du vendredi 😉

Edit : bon je sens que ça va être un festival de screens, en voilà déjà un qui tourne sur twitter :

Le site Performances-publique.gouv.fr est lui aussi affecté par la même faille XSS, voici un screen d’un lien posté dans un commentaire assez fun lui aussi (tout un programme la performance publique… c’est dans l’acronyme de LOPPSI qu’on a introduit cette notion de performance non ?)  :

EDIT (again) : je viens de poser une petite question à Eric Walter (pour le chat La Tribune/Hadopi qui doit se tenir d’un instant à l’autre). Elle sera surement censurée donc voici la question :

Eric Walter Hadopi Négligence caractérisée La tribune

La pédagogie made in HADOPI

négligence caractériséeLa HADOPI fait de la prévention, sous forme d’un dépliant qu’elle distribue aux péages autoroutierx, profitant des retours de vacances. Par delà le caractère pas franchement légal de l’opération comme le souligne Numerama, c’est surtout le couplet sur la sécurisation de la connexion Internet qui me fait doucement rire. Une vaste blague, avec une véritable intention de désinformer, voilà à quoi se résume le dépliant de la HADOPI.

Pourquoi

La sécurisation de la connexion à internet a pour but d’éviter les utilisations non autorisées d’œuvres protégées par undroit d’auteur. Comme pour son domicile, il est nécessaire de verrouiller les accès à son ordinateur pour éviter lesintrusions extérieures. Les moyens de protection permettentaux internautes d’envisager différemment l’utilisation de leurconnexion internet par leurs proches.

Comment ?
Comment ? Pour sécuriser son accès à Internet, l’abonné peut :

– Protéger son poste grâce à un mot de passe,- Installer des logiciels tels que le contrôle parental,les anti-virus ou les pare-feu,
– Protéger son wifi en utilisant une clé WPA. Ce type de service est proposé par les concepteurs de moyens de sécurisation (fournisseurs d’accès à internet et autres).

Le “Pourquoi” est déjà risible, on a là une splendide définition de la sécurisation d’une connexion par la HADOPI… Oui, sauf que voilà, moi je ne vois rien là dedans qui sécurise, je vois un dispositif de surveillance destiné à vous amputer chirurgicalement d’une parcelle d’Internet, par l’interdiction, la censure et bientôt le filtrage pur et simple du Peer to Peer. Le hic, c’est que quand ça pète, la chirurgie c’est jamais beau à voir. Peu importe, on nous ressert une fois ce discours particulièrement crétin qui consiste à assimiler un dispositif de flicage à de la sécurité. Comprenons nous bien : que vous vous fassiez piquer votre numéro de CB sur un site web que vous pensiez être un site proposant une offre légale, la HADOPI s’en contrefiche, qu’un fournisseur d’accès expose vos données personnelles en tentant de faire son beurre sur la psychose que veut générer HADOPI, la HADOPI s’en bat aussi les steaks… ce qu’elle souhaite c’est uniquement bloquer le partage de fichiers…

Dans le “comment”, la HADOPI enfonce le clou en vous envoyant acheter une baguette chez le cordonnier : Ce type de service est proposé par les concepteurs de moyens de sécurisation (fournisseurs d’accès à internet et autres)”. Bravo ! Sauf qu’il semble que la HADOPI a manqué l’épisode du logiciel de controle de téléchargement d’Orange qui prétendait sécuriser votre connexion et qui exposait en fait tous les utilisateurs à un trou béant. En indiquant qu’un fournisseur d’accès est à même de sécuriser votre connexion, votre ordinateur, votre femme…  on ne peut que constater et déplorer le niveau d’e-gnaritude profonde de la HADOPI en matière de sécurisation … du coup, la pédagogie, ça fonctionne beaucoup moins bien.

Et maintenant, le clou du spectacle :

Un labelpour se protéger

Dans un univers technique qui peut paraître complexe, le label “Hadopi moyens de protection” permettra à l’internaute de s’orienter clairement et rapidement. Il aidera l’internaute à choisir un dispositif  fiable de protection de son accès à internet.

La HADOPI nous promet un label  «Hadopi moyens de protection” qui risque encore de nous provoquer chez les spécialistes une certaines hilarité. En attendant, le label HADOPIPROOF est lui déjà 100% opérationnel.

Enfin, je passe sur le couplet “les pauvres créateurs vont tous mourir”, en attendant je serais curieux de savoir combien d’emplois ont été détruits par les majors en plus de 10 années de lutte contres des moulins à vent.

Hadopi Dépliant

HADOPI : la négligence caractérisée définie dans un décret d’application

En France, on a pas peur du ridicule, vraiment pas. Le délit de négligence caractérisée est une émanation de  la Loi n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur Internet, plus connue sous le nom guignolesque d’HADOPI (Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet). La négligence caractérisée vient donc d’être définie dans le “Décret n° 2010-695 du 25 juin 2010 instituant une contravention de négligence caractérisée protégeant la propriété littéraire et artistique sur internet“. C’est un “petit” décret, avec pas trop de mots, juste ce qu’il faut pour définir l’indéfinissable, et surtout pour éviter de passer pour encore plus débile qu’il ne l’est déjà.

Avant de rentrer au coeur du troll, je vous invite à jeter un oeil sur ce que les députés qui ont voté HADOPI n’ont pas lu

Alors ça raconte quoi ?

Ça raconte en gros que madame Michu va devoir sécuriser “sa connexion”. Mais le législateur se garde bien de définir ce qu’est une connexion à Internet… ça parait tout con comme ça mais, si je sais sécuriser ma machine, il m’est par exemple impossible de sécuriser la box de mon fournisseur d’accès, je n’en ai d’ailleurs pas le droit. Et quand je signale des horreurs sur les sites de certaines personnes pouvant conduire à la compromission de ma propre machine, ces derniers n’ont souvent même pas la courtoisie élémentaire de me répondre… La négligence des uns s’arrête t-elle là où commence celle des autres ?

Allez on va jouer un peu ensemble. Pour m’assurer que vous avez tous bien compris les tenants et les aboutissants de ce décret, je vous propose un petit quizz :

Question pour un champion numéro 1 : où s’arrête la connexion Internet que je suis sensé sécuriser ?

  • Réponse A : à ma machine ?
  • Réponse B : à ma box ?
  • Réponse C : au noeud de raccordement de mon opérateur ?
  • Réponse D : au site web que je visite ?

Question pour un champion numéro 2 : où sont les spécifications du dispositif de sécurisation que la HADOPI devait agréer ?

  • Réponse A : parties chez Orange avec Christine ?
  • Réponse B : sur un post-it accroché à la machine à café de la rue de Texel ?
  • Réponse C : DTC (Dans Ton Cloud) ?
  • Réponse D : la réponse D ?

Question pour un champion numéro 3 : Si ma machine est infectée par un trojan, un keyloger ou un backdoor malgré les 5 euros par mois que je paye à mon fournisseur d’accès et que moins d’un an après mon premier avertissement, elle est réutilisée à des fins de contrefaçon je suis :

  • Réponse A : un internaute comme les autres ?
  • Réponse B : une victime ?
  • Réponse C : un coupable ?
  • Réponse D : un con ?

Question pour un champion numéro 4 : Pour HADOPI, Nathalie Kosciusko Morizet a :

  • Réponse A : bien fait son travail et j’ai lu tous ses tweets ?
  • Réponse B : j’aime bien les pépitos ?
  • Réponse C : été quasi neutre ?
  • Réponse D : Natha qui ça … ah … la soeur de Pierre ?

Question pour un champion numéro 5 : Le délit de négligence caractérisée est :

Question pour un champion numéro 5 : En l’absence de dispositif de sécurisation agréé, je peux sécuriser ma connexion en :

  • Réponse A : mettant du web sur ma Wi-Fi ?
  • Réponse B : me payant un VPN chiffré SSL ?
  • Réponse C : balançant mon ordinateur par la fenêtre ?
  • Réponse D : la réponse D ?

Ministère de la Culture : des p’tits trous, des p’tits trous toujours des p’tits trous

J’attends toujours avec une grande impatience les décrets d’application d’HADOPI. Celui que j’attends le plus, c’est évidemment celui qui désignera le délit de négligence caractérisée, cette hérésie que j’ai tenté de vous expliquer modestement dans ce petit livre blanc sur la sécurisation des connexions wifi.

Le Ministère de la Culture, qui est à l’origine de ce fantasme qui voudrait que Madame Michu devienne admin système, est comme tout le monde le sait, irréprochable … la négligence caractérisée, c’est pas leur truc … leur truc à eux c’est plutôt ça :

… et ça

Contourner HADOPI pour les nuls (partie 17) : faites accuser votre voisin pour 34$ avec WPACracker

Image 2Ce 17e volet de l’art de contourner HADOPI pour les nuls va vous présenter un service en ligne, complètement immoral, qui vous permettra de faire accuser à votre place n’importe quel internaute qui ne sait pas sécuriser correctement une connexion wifi, soit plus de 80% des internautes français. Le délit de négligence caractérisée est loin le plus bête, le plus méchant, le plus injuste et le plus stupide délit inventé par le législateur. Conséquence directe d’une loi bête et méchante, des services tout aussi bêtes et méchants se mettent en place pour générer du business sur la peur du gendarme.

C’est le cas de WPACracker qui propose un cluster de 400 processeurs pour venir à bout des mots de passe WPA/TKIP, technologie de chiffrement la plus répandue en France. WPACracker est un service en ligne, en mode SAAS qui permet à n’importe quel internaute de soumettre un “dump” (fichier de capture d’une écoute réseau) qui est ultra simplement réalisable avec toute une batteries de logiciels, disponibles pour tous les systèmes d’exploitation et gratuits que l’on trouve en ligne en deux clics. Le service coûte 34$, voici le prix de votre anonymat et de votre impunité de la manière la plus immorale qui soit.

On savait qu’HADOPI 2 allait générer de nouvelles économies parallèles comme le vente de cd / DVD gravés, l’explosion des VPN pour masquer votre adresse ip, le grand revival des newsgroups binaries over ssl … et bien voilà que le cloud computing est maintenant une alternative sérieuse pour qu’HADOPI vous fiche la paix.

Je savais que l’Internet qu’allait créé HADOPI ne me plairait pas du tout, WPACracker en est la parfaite illustration.

“Quand 10% des habitants d’un pays ont envie de prendre le maquis, c’est que la démocratie est franchement dans la merde” – Benjamin Bayart

Merci à Numerama d’avoir levé le lièvre 😉

François Loos : Monsieur le député … MERCI !

Malgré mon discours souvent radical concernant les questions qui touchent à HADOPI et plus globalement aux atteintes à la Net Neutrality, je n’ai jamais douté qu’il y avait quelques personnes sensées dans Image 2l’hémicycle. Il y a bien évidemment nos valeureux mousquetaires. Du côté de l’UMP (et affiliés), les députés Tardy et Dupont Aignan n’ont pas été avares d’efforts pour faire entendre raison au Ministère de la Culture dans son délire Orwellien aussi juridiquement incohérent que techniquement absurde, masquant mal l’incompétence des uns ou la cupidité des autres.

Petite bouffée d’oxygène, le député UMP François Loos vient de sommer le Ministère de la Culture de donner des explications sur le délit de négligence caractérisée.

A ce jour, constate le député, les installateurs de réseaux informatiques sont bien en peine de conseiller leurs clients, ne sachant pas quels sont les éléments constitutifs de cette infraction. Pour l’instant, et tant que les décrets d’application ne seront pas publiés, les pratiques antérieures peuvent encore avoir cours. Mais dès la publication de ces décrets, un certain nombre d’installations ne seront plus conformes à la loi, alors que très récentes. Dans ces conditions, non seulement l’installateur ne peut pas remplir son obligation légale de conseil dans la vente, mais en plus, le client va payer de grosses sommes pour une installation obsolète d’un moment à l’autre“.

Ne pensez-vous pas qu’il serait souhaitable de clarifier au plus vite cette situation, qui embarrasse tout le monde ?

.. s’interroge le député…. et il n’est pas le seul, si vous me lisez de temps à autres vous savez à quel point je peste contre ce “délit de négligence caractérisée”, pas en tant que particulier (je n’utilise pas M$ LèpreOs et j’estime disposer des connaissances suffisantes pour me protéger convenablement … enfin jusqu’au jour ou mon ip fixe aura été générée aléatoirement et balancée dans un tracker torrent), mais bien pour un usage professionnel. Et là, évidemment, les questions du député Loos matchent parfaitement avec mes inquiétudes … QUI VA PAYER ?

Numerama insiste également à juste titre sur le devenir du P2P, le mouchard de la Milice du Net logiciel agréé de l’HADOPI disponible uniquement sur M$ LèpreOS®  en ses versions XP®, VISTA® ou “Séveune”® devra t-il filtrer le P2P… tout le P2P et rien que le P2P … “dites je le jure” ? … et même le P2P pour télécharger des fichiers légaux ?

Un élément de réponse avait été donné pendant les débats, et clairement, pour que ceci se fasse convenablement, il n’y a pas 36 solutions … devinez quoi ? … gagné !! elles ne sont pas fiables, mais alors pas fiables du tout !

Voici comment comment pourrait fonctionner le mouchard … si si vous allez voir c’est bien un mouchard 😉

Une base de données fichiers musicaux ou vidéos contenant ce qu’on appelle des hashing (appelons ça une empreinte numérique pour simplifier) sera stockée de manière chiffrée sur un serveur (on va chiffrer un truc chiffré, c’est la classe), appelons le au piff  “http://milice.extelia.com”.

Notre serveur http://milice.extelia.com communique en permanence avec le mouchard installé sur ton M$ LèpreOS. Le mouchard agit comme une sorte de scanner de hashing sur ton disque dur, si par malheur, il détecte un hashing qui correspond à celui d’un des hashing stockés sur ‘http://milice.extelia.com’, ce dernier fait son travail, il moucharde ! Du coup, un petit cron (une tâche automatisée) dit à smtp.extelia.com (le serveur de mail), d’envoyer un petit mail d’avertissement au propriétaire du mouchard… c’est beau la technologie non ? Sauf que …

Méééheuuu SAYPAMOA!!

Ah ben oui, je t’ai pas dit ? Le mouchard, c’est pas le Firewall OpenOffice de Christine ! Sa fonction n’est pas de protéger ton LèpreOS et encore moins de le patcher avec les mises à jour qui vont bien… Imagine que ta machine soit infectée par un cheval de Troie, chose qui n’arrive jamais parrait-il tellement LèpreOS est fiable … y’a à peine 4 millions de réponses dans Google… et que depuis ce cheval de Troie, un Jean-Kevin s’amuse à downloader allègrement depuis ta machine via un client console  BitTorrent (me regardez pas comme çà, je ne sais même pas si ça existe pour LèpreOS) Il établit ensuite un tunnel entre ta machine et la sienne, mais ce tunnel est évidemment chiffré et bien caché, pas de bol. Le hashing est bien détecté, le fichier piraté était bien sur ton disque dur, le mouchard a mouchardé … et toi … et toi tu es le dindon de la farce. Il va maintenant falloir prouver ton innocence.

Pour celà, tu as deux alternatives :

  1. Devenir un cador de la sécurité, un virtuose de la base de registre et partir à la recherche de la bébête qui a infecté ta machine. Il va aussi te falloir devenir un Uber Crypto Cracker pour casser le chiffrement du tunnel de Jean-Kevin… bref, tu vas vraiment “leverager ton crypto skill”. Ca te coûtera un peu de pognon quand même, il faudra que tu loues toute l’infrastructure cloudifiée d’Amazon pendant quelques jours, quelques semaines ou quelques mois … en fonction du chiffrement utilisé par Jean-Kevin … des broutilles, quelques centaines de millions de dollars devraient faire l’affaire.
  2. Te payer une société d’experts en espérant qu’elle arrive à mettre en évidence les failles et les trojans dont jean-Kevin s’est servit pour télécharger son p0rn et ses warez. Et crois moi, ce type de prestation, ça coûte bonbon !

Comment ça c’est à toi de prouver ton innocence ?

Ah je t’avais pas dit non plus ? Avec HADOPI, tu es présumé coupable, il est bien connu qu’une adresse IP est une preuve super fiable … c’est du lourd une IP ! … et ça suffit à ce que tu ais à te défendre d’une accusation … et ouai ! Tu es présumé coupable ! Et de toutes façons, même si c’est pas toi, le législateur a tout prévu .. tu viens de découvrir le délit négligence caractérisée !

Monsieur le Ministre la balle est dans votre camp

Le député Loos a posé des questions très précises au Ministre de la Culture et je vous promets une belle tranche de rigolade quand on va lire ses réponses … et en l’absence de  réponses précises, HADOPI, pour ce qui constitue le délit de négligence caractérisée, sera tout bonnement inapplicable. Je trépigne d’impatience, en fantasmant sur le second Volume des Cours de Sécurité informatique pour les nuls que la rue de Valois nous prépare. Et si vous avez raté le volume 1 … le voici.

J’ajouterai aux questions du député Loos les questions suivantes :

  • Est ce qu’oublier une mise à jour de LèpreOS constitue une négligence caractérisée ?
  • Est-ce qu’un 0day constitue une négligence caractérisée… pour celui qui la subit ou pour l’éditeur du logiciel  ?
  • Est-ce que ne pas faire la différence entre TKIP et CCMP constitue une négligence caractérisée ?
  • Est-ce que ne pas avoir LèpreOS et lui préférer OpenBSD sur lequel le mouchard ne veut pas s’installer quand on lance un  $ cd /usr/ports/security/mouchard && make install clean … constitue une négligence caractérisée ? Et oui souvenez-vous l’ami Franck Riester disait que l’interopérabilté ça ne servait à rien et que le mouchard serait payant … loul.

Monsieur le Ministre, méditez bien votre réponse, prenez votre temps, nous sommes tous fort curieux de connaître la manière dont HADOPI va aborder le laxisme des éditeurs logiciels qui mettent parfois jusqu’à 7 ans pour corriger des failles critiques !

Monsieur le député Loos, encore merci, je sens que vous allez nous la faire aimer cette négligence caractérisée.