La #NSA surveillerait #Alcatel, l’un de ses fournisseurs… sans blague ?

obama-big-brotherLe Monde nous a hier gratifié de nouvelles révélations sur les programmes d’interception et de surveillance des services américains. Ces dernières révélations ont fait du bruit, poussant Laurent Fabius à convoquer dans l’urgence l’ambassadeur des Etats-Unis en France, tout particulièrement pour demander à ce dernier de s’expliquer sur l’espionnage dont serait les cibles deux joyaux technologiques français :

  • le franco français Orange, enfin Wanadoo comme on l’appelle encore à la cafet’ de la NSA
  • le franco américain Alcatel, un fournisseur comme on l’appelle au service compta de la NSA

Si l’espionnage de Wanadoo peut sembler “curieux” de prime abord, il faut simplement se remémorer quelques éléments de contexte.

  • Orange est le plus important fournisseur d’accès à Internet de France
  • Orange opère la majorité des infrastructures acheminant des données en France, y compris celles par lesquelles passent les données des autres fournisseurs d’accès, appelons-les “les autres” ou  « les opérateurs pas historiques”.
  • Orange a une présence à l’étranger très, très importante. Si vous voulez intercepter les conversations téléphoniques de pédo-nazis terroristes en Ethiopie par exemple, c’est bien sur le cas d’Orange qu’il faut se pencher puisque c’est ce dernier qui a mis en place les infrastructures de l’opérateur national local.
  • Posez vous une question idiote : combien de députés ou de journalistes ont encore un mail @wanadoo.fr actif ? En fait, ce sont encore 4,5 millions de français qui utilisent une adresse @wanadoo.fr
  • Orange opère aussi d’autres réseaux (x25, système de communication des professionnels de santé etc…) et quelques échanges de techniciens d’une messagerie pseudo sécurisée par une entreprise qui a découvert par accident le chiffrement asymétrique il  y a trois ans (ne riez pas cette anecdote est authentique), croyez le ou non, mais c’est providentiel quand on joue les big brothers.

Aussi pour toutes ces raisons et certainement d’autres comme celles qui lient contractuellement Orange à de gros autres opérateurs mondiaux, c’est une proie plutôt sympa quand on s’appelle la NSA.

Passons maintenant au cas Alcatel. Alcatel Lucent est une entreprise franco américaine et surtout, en 2010, l’un des principaux équipementiers déployant des routeurs de services chez les opérateurs US (auxquels la NSA accède dans le cadre du programme PRISM). Le renforcement des lois exerçant l’emprise des services secrets américains sur les infrastructures des fournisseurs d’accès à Internet aux USA ne leur laisse pas tellement le choix, il faut déployer de puissants systèmes embarquant le nécessaire pour la collecte de données. Et quoi de mieux qu’un bon gros routeur de service pouvant intercepter le contenu des communications (grâce au Deep Packet Inspection) sur des débits relativement importants ?

En 2010, Alcatel, c’est un peu l’arme ultime anti hackers chinois, tout comme une poignée d’entreprises américaines (Narus, Cisco Systems, Juniper…) . Les USA sont alors en pleine cyber gueguerre sur deux fronts distincts : le front chinois avec Aurora, le front iranien avec le déploiement de Stuxnet dont on commence déjà à l’époque à perdre le contrôle.

Alcatel présente un autre avantage quand on veut par exemple écouter Orange et nombre des fournisseurs d’accès avec lequel l’opérateur travaille directement. Alcatel et Orange ne sont d’ailleurs pas non plus étrangers à la technologie xDSL, l’une des plus répandue dans le monde. On ne vas donc pas reprocher aux américains de s’intéresser à une technologie française pouvant avantageusement remplacer leur réseau câblé tout moisi de l’époque.

C’est donc avec une paranoia qui n’est pas exclusivement due à la traque aux barbus jihadistes que la NSA opère ses écoutes. En fait, avec Alcatel, elle opère avant tout un contrôle sur les équipements qu’elle utilise elle-même, à savoir des routeurs de services Alcatel 7750 : 7750_SR_Portfolio_R10_EN_Datasheet (PDF)

7750_largeEn 2010, les plus gros clients d’Alcatel pour cette gamme sont américains et canadiens. Il gèrent déjà du DPI (que l’on appelle alors du H-QoS, pour Hierarchical Quality of Service) à raison de  100 Gb/s par puce… et il y a jusqu’à 4 puces en fonction des configurations sur ces modèles. Déployés au coeur de réseau chez les opérateurs ils permettent aussi bien de facturer des services IP que d’intercepter à la volée des communications IP. Faites une recherche des termes “lawful interception” sur ce PDF : 9301810201_V1_7750 SR OS OAM and Diagnostics Guide 6.1r1.

Alcatel et Orange intéressent donc la NSA, ok c’est un fait. Nous en avons naturellement beaucoup parlé et ceci indigne à juste titre la France, alliée indéfectible des USA. Mais peut-il réellement en être autrement pour ces deux entreprises qui déploient à travers le monde leurs câbles sous-marins, autoroutes de nos échanges numériques, et dorsales d’interception privilégiées de tous les services de renseignements de la planète ?

le-Raymond-Croze
Le Raymond Croze, un navire câblier de la flotte d’Orange Marine

Si la NSA surveille Alcatel, il y a fort à parier qu’elle surveille également des entreprises comme Amesys ou surtout Qosmos, dont on retrouve la technologie chez des équipementiers américains et qui est précurseur dans les technologies d’inspection en profondeur des paquets (DPI).

Et puis posons clairement la question… Qosmos marque un intérêt prononcé pour la détection de protocoles et la reconnaissance de signatures émanant d’applications en ligne d’origine chinoise. A t-elle développé ceci pour ses propres besoins ou a t-elle un client qui a ses grandes oreilles rivées sur la Chine ?

La menace terroriste est très loin d’être la seule chose qui intéresse le monde du renseignement aux USA. On ne peut que regretter de l’apprendre à nos dépends, de manière aussi brutale, ou se consoler en se disant que la France, elle aussi, profite des informations collectées par les services américains qu’elle échange contre ses propres informations.

Mais que Laurent Fabius ne s’inquiète pas, nul besoin de convoquer la diplomatie américaine et nous jeter de la poudre aux yeux, puisque je vous parle ici de matériel grand public et de méthodes d’interception grand public comme il le dit lui même (enfin sous la bienveillante égide d’un nègre de la Direction du Renseignement militaire qui avait déjà fait déblatérer les mêmes âneries à Alain Juppé) quand la France vend un Eagle au Maroc qui ne manquera surement pas d’idées pour en faire un usage en parfaite adéquation avec les valeurs de notre république.

Alors Alcatel ? … Entre nous, ça vous fait quoi d’être vous mêmes les pseudos victimes de vos propres équipements ?

L’ombre de l’Opus Dei plane sur le projet de normalisation européen du filtrage du Net

opus dei
Opus Dei

Aujourd’hui suite à un tweet de @manhack je découvre, dans une réponse du gouvernement que l’AFNOR et son pendant espagnol, l’AENOR plancheraient sur un projet de normalisation de dispositifs de filtrage du Net. Il me faut un petit temps, quelques recherches sur le Net, deux trois coups de fil… et hop, l’évidence est là, sous mes yeux. Quelque chose d’assez pestilentiel plane dans cette histoire de filtrage, creusons un peu cette nébuleuse où s’entremêlent business, politique, contrôle du Net, sectes et lobbying. Une entreprise de sécurité informatique liée à une secte, ce n’est pas quelque chose de nouveau, on se rapelle par exemple de l’éditeur antivirus Panda Software et de ses liens avec l’Église de Scientologie. Nous allons donc tenter de comprendre un peu mieux le background de ce projet de normalisation pour tenter d’y voir un peu plus clair.

Dans la réponse faite au député Mignon, on peut lire “La version expérimentale de cette norme a été publiée par l’AFNOR en janvier 2010. Elle sera présentée devant le bureau technique du Comité européen de normalisation dans le cadre du comité de projet « Filtrage Internet » (Project Committee « Internet Filtering »). Ce comité est animé par l’Agence espagnole de normalisation (AENOR). La publication d’un premier document européen est envisagée d’ici la fin de l’année 2010. Par ailleurs, le secrétariat d’État à la famille et à la solidarité soutient des actions de sensibilisation et d’éducation aux médias menées par des associations tant auprès des jeunes dans les établissements scolaires que des parents.

L’affaire remonte à 2006, OPTENET, une société d’origine espagnole est accusée d’avoir extrait les listes d’accès d’une solution de contrôle parental d’origine française, celle de la société XOOLOO. Au milieu de cette affaire, on trouve également le nom de grands FAI : ORANGE (à l’époque WANADOO / NORDNET à qui nous devons par exemple un certain failware HADOPI), CLUB INTERNET et TELECOM ITALIA. ORANGE aurait laissé fuiter les listes d’accès (constituées manuellement par la société XOOLOO)… négligence caractérisée ou intention délibérée, même si j’ai bien ma petite idée sur les modalités d’extraction de ce genre de liste, je ne suis pas dans le secret des dieux. Sachez simplement que c’est la solution de XOOLOO qui était intégrée à l’offre Securitoo commercialisée par Wanadoo sur abonnement et packagée par NORDNET… on ne change pas une équipe qui gagne.

Le scandale éclate en mai 2007 dans les pages de Libération qui nous apprend dans un article intitulé “Optenet, chapelle de l’Opus Dei” les liens étroits entre OPTENET et l’Opus Dei, je cite :

Optenet, créé en 1997, s’appelait avant Edunet. Son siège est à San Sebastián. Elle emploie aujourd’hui «130 professionnels» et possède des antennes en Europe, au Brésil, au Mexique et aux USA. En France, Optenet Center compte parmi ses membres fondateurs Alberto Navarro Mas, gérant de la SARL. Il pilote le bureau d’Optenet à Paris. C’est aussi le gérant des éditions Le Laurier, spécialisées dans les publications de l’Opus Dei, et sise au 19, rue Jean-Nicot, à Paris. Cette ruelle du VIIe arrondissement abrite au numéro 6 le centre Garnelles, le plus fréquenté des treize lieux de rencontre gérés par l’Opus Dei à Paris. C’est à cette adresse qu’est domicilié professionnellement Alberto Navarro Mas. C’est là aussi qu’est domiciliée l’Acut (Association de culture universitaire et technique), considérée comme un des satellites de l’Opus Dei.

Niant tout lien avec l’Opus Dei, OPTENET s’offre un droit de réponse peu convainquant suite aux révélations de Libération.

En fouillant un peu plus on trouve sur Légalis un résumé complet du feuilleton, l’histoire est passionnante, on y apprend que Xooloo a mis trois ans pour constituer sa base de données de sites filtrés alors qu’Optenet ne mettra que quelques semaines, l’usage d’un crawler est soupçonné. Concernant la fuite de la base de données, Orange est accusé de complicité par la société XOOLOO.

Attendu que France Telecom n’apporte pas la preuve qu’elle avait reçu l’autorisation de Xooloo pour fournir à Optenet la base cryptée de Xooloo, le tribunal dira qu’en agissant ainsi, France Telecom a eu une application fautive du contrat, qu’elle s’est mise en contradiction avec l’article L.342-1 du code de la propriété intellectuelle et que les moyens présentés par France Telecom pour démontrer qu’elle a exigé d’Optenet des garanties de confidentialité sont inopérants,

En fouillant même encore un peu plus, il semble que la base de données de XOOLOO, remixée à la sauce OPTENET, se soit vue intégrer des sites dont les contenus n’ont pas de caractère choquant, les critères semblent tout de suite plus “religieux” qu’en rapport avec la protection de l’enfance.

En 2009, on retrouve XOOLOO et OPTENET, aux côtés d’associations de protection de l’enfance ([email protected]’Enfance, E-Enfance, Action Innocence), à l’AFNOR, pour définir une ligne directrice en vue d’une normalisation des solutions de contrôle parental.

Aujourd’hui, je dois vous avouer que l’implication OPTENET dans ce projet me laisse particulièrement perplexe sur les motivations profondes de normalisation des outils de filtrage demandée par Nadine Morano alors en charge de ces questions. Fabrice Epelboin avait mis en garde sur une dérive puritano religieuse de l’exploitation des questions de filtrage du Net, il semble qu’en Europe, elle revête un caractère carrément sectaire, je ne suis qu’au début du fil, et quand je tire, je sens bien la pelote… OPTENET semble très actif dans le lobbying européen relatif aux questions de l’enfance et ses solutions sont assez reconnues pour s’être même vues décerner une récompense européenne, le prix IST de l`innovation (Information Society Technology) par la Commission Européenne. Au niveau français, OPTENET, arbore aussi le logo officiel du ministère de l’éducation nationale. Vu le passif de la société, j’ai le sérieux pressentiment que ça ne sent pas bon du tout.

J’espère en avoir assez dit pour vous donner l’envie de creuser un peu plus le sujet, comme d’habitude, je vous invite à faire vos propres recherches et à être particulièrement vigilants sur cette histoire qui présente tous les ingrédients d’un bon gros scandale. Nous ne pouvons pas laisser un sujet aussi grave et sérieux que la protection de l’enfance devenir une porte d’entrée à une dérive sectaire au plus haut niveau européen, dont le cheval de bataille serait le filtrage du Net.

Si vous avez du temps, n’hésitez pas faire des recherches et à remonter des informations suspectes, mon petit doigt me dit qu’on en est qu’au début.

EDIT : 21h00

  • J’ai contacté l’AFNOR qui a répondu en toute transparence à mes questions, sa position est claire, elle s’est opposée (au nom de la France) à cette norme expérimentale visant à transmettre les blacklists aux FAI afin de laisser à ces derniers le loisir de filtrer sans que le particulier ne puisse exercer de contrôle de lui même (DNS Menteur). Cette norme expérimentale est sensée être adoptée en Janvier 2011.
  • En continuant mes recherches, j’ai découvert que la solution d’OPTENET était l’une des deux solutions gratuites (avec la solution SAFE EYE) proposées par le gouvernement australien. Là bas, les listes de filtrage ont fait grand bruit puisque comme on s’en doutait, on y trouvait aussi des sites dont la nature n’avait pas un caractère répréhensible par le droit australien.
  • En grattant encore, on trouve assez simplement ce billet. On y apprend que OPTENET se nommait autrefois EDUNET. Sur son site, EDUNET proposait des contenus pour le moins assez particuliers comme ces pages : http://web.archive.org/web/20031210143415/www.edunet.es/ideas/index.htm qui ne sont plus en ligne mais que l’on retrouve avec Webarchive. On y apprend que selon cette société, l’homosexualité est une maladie qu’on attrape à la naissance ou plus tard : http://web.archive.org/web/20031005032609/www.edunet.es/ideas/homosexu.htm (point n°6).
  • Au niveau français, OPTENET semble compter l’éducation nationale parmi ses clients et arbore fièrement le logo du ministère sur l’un de ses sites : http://www.education.optenet.fr/
  • Je cherche maintenant des traces sur un éventuel conflit d’intérêts au niveau de la commission de normalisation européenne sur ces dispositifs de filtrage : à son plus haut niveau, on retrouverait encore OPTENET.

Alcatel Lucent : cet ami qui vous veut du bien

alcatel lucent dpiQuand on parle de DPI (Deep Packet Inspection), il y a quelques acteurs à côté desquels il est impossible de passer. Qosmos, Cisco Systems, et un autre un peu plus de chez nous : Alcatel Lucent. Gtom a posté en commentaire ici un lien vraiment édifiant sur l’une des vidéos de l’ARCEP qui m’était sortie de la tête. On retrouve dans le discours de Gabrielle Gauthey, représentante d’Alcatel Lucent, TOUS les éléments contestables du rapport gouvernemental sur la neutralité. Je vous invite donc à (re)visionner cette vidéo très attentivement.

Au menu dans le discours d’Alcatel et que l’on retrouve de manière abondante dans ce rapport gouvernemental, nous avons en vrac :

  • La notion de gestion de trafic ;
  • La notion de contenus licites ;
  • La remise en cause du haut débit flat rate ;
  • La “DPI tout à fait naturel”  ;
  • La notion d’Internet ouvert ;
  • et en trame de fond, le financement de ces équipements par la hausse des prix.

Tout ceci fait quand même un peu beaucoup pour être considéré comme une simple coincidence, de toute évidence, le lobbying d’Alcatel a porté ses fruits et le rapport gouvernemental reprend au pied de la lettre l’argumentaire d’Alcatel.

Alcatel Lucent est un équipementier dont le savoir faire et la qualité des produits n’est plus vraiment à prouver, il est l’un des leaders mondiaux sur les équipements xDSL (particulièrement les DSLAM) à destination des fournisseurs d’accès et produit entre autres les Livebox d’Orange. Le savoir faire de l’entreprise s’est donc assez naturellement développé niveau DPI et il offre même depuis 2008 des équipements terrabits proposant du DPI (c’est en gras dans le texte).

Alcatel Lucent porte aussi quelques autres entités, particulièrement une dont je vous avais parlé ici, Kindsight. Il est difficile de ne pas percevoir les liens étroits qui unissent Orange et Alcatel sur la DPI. Il est en revanche plus compliqué de décrypter les stratégies des acteurs de ce nouvel eldorado.

Quand tous les intérêts convergent vers une société de surveillance

Le marché de la surveillance est un business particulièrement juteux (à ce niveau on ne parle pas de sécurité mais bien de surveillance). La France y a développé des compétences qu’elle entend bien imposer un jour ou l’autre quand ce n’est pas déjà fait à des fournisseurs d’accès un peu partout dans le monde. Nul doute que la France entend devenir une vitrine technologique de la DPI pour mieux la vendre ailleurs, sur des marchés bien plus importants. Le Ministère des Finances et de l’Industrie joue donc parfaitement son rôle en appuyant les positions des grands groupes français. C’est affreux à dire mais je ne trouve rien de choquant dans cette démarche. Enfin je n’y trouverais rien de choquant si les intérêts de ces grands groupes n’étaient pas en parfaite contradiction avec l’intérêt commun et le respect des droits de chacun.

Enfin, on pourra également déplorer que les possibilités offertent par un Internet vraiment neutre à l’émergence de nouveaux acteurs et de nouveaux services aient été balayés d’un revers de main par l’approche de Bercy sur la question de la neutralité du Net. Enfin je reste convaincu que les intérêts économiques ne sont pas les seuls à avoir guidé la plume de Bercy dans ce rapport.

Neutralité du Net : Orange, je te vois !

Un petit billet pour rebondir sur l’analyse du rapport gouvernemental sur la Neutralité du Net par Fabrice dans Read Write Web. On se demande effectivement qui est l’auteur du rapport, j’ai personnellement beaucoup de mal à penser qu’il est l’oeuvre du cabinet de Nathalie Kosciusko-Morizet. On ne peut s’empêcher de constater que les positions exposées dans ce rapport sont celle d’Orange. Ceci expliquerait par exemple qu’il soit si bancal. Si vous n’êtes pas convaincus, la seule mention d’un “internet ouvert” que l’on oppose dans ce rapport à un Internet neutre, c’est un copyright Orange. D’ailleurs, quand on revisionne la vidéo de l’ARCEP, c’est bien Stéphane Richard qui “préfère la définition d’Internet ouvert et il s’en explique.

Stéphane Richard confessera d’ailleurs qu’il n’y comprend pas grand chose et mettra en avant “la fraicheur de son regard” :  “je ne suis pas un vieux manitou des Télécoms“. Il expliquera aussi que le rôle essentiel d’un opérateur télécom, c’est avant tout la gestion du traffic “sans quoi c’est la fin d’Internet”… ben voyons !

Bref en revoyant cette vidéo, vous avez un condensé du rapport soit disant gouvernemental sur la neutralité du Net. C’est à dire un papier d’amateur level newbie et fier de l’être qui se sent investi d’une mission que personne ne lui a confié, à savoir réguler au lieu d’acheminer.

En tout cas un doute sérieux plane sur ce rapport : par qui a t-il été rédigé et dans quel but ?

Le Deep Packet Inspection bientôt sur abonnement chez Orange

Bon vous allez dire que je suis paranoïaque tout ça … Mais bon … Voilà PCIncpact nous alerte que le service marketing d’Orange s’apprête à proposer une offre payante de DPI (en tout cas vu d’ici ça y ressemble quand même pas mal)… ! Même pas peur !

Pour que vos packets soient analysés (pour votre sécurité bien sur…), et accessoirement servent à vous balancer de la pub (vocation première du Deep Packet Inspection), il vous faudra débourser 3,95 euros par mois. Si vous consentez à vous faire bombarder de pub, vous aurez le droit de vous faire analyser vos paquets gratuitement… trop sympa Orange ! Bon comme en interne c’est un peu tendu, on va sous-traiter ça à du vrai pro du DPI, en plus ça sera surement plus discret … Hop, gogogadgeto Kindsight.

Nuançons : Kindsight a l’air d’aspect très clean, très respectueux de votre vie privée, et dit ne collecter aucune donnée. On peut se désabonner du service quand on le souhaite. On peut y croire … ou pas. Moi j’ai bien envie d’y croire, mais c’est plus loin que ça se gâte.

Côté Orange, on reprend la bonne vieille recette : on s’attaque aux plus faibles, ceux qui n’y comprennent rien et qui pensent que notre Internet est tout pourri, en leur expliquant que leur sécurité est en danger à cause des vilains pirates du Net et on en profite pour leur refourguer un dispositif destiné à vous fliquer comme le souligne PCInpact citant une jolie formule bien marketing très caractéristique :

« des cybercriminels arrivent à pirater les ordinateurs personnels en désactivant les logiciels antivirus. Ils peuvent alors usurper votre identité. Bien sûr les antivirus sont indispensables, mais il vous faut une protection supplémentaire. Les cybercriminels ne peuvent désactiver la protection KindSight car elle est intégrée au réseau».

Parano moi ? … et ça c’est du poulet ? KindSight est clairement identifiée comme une entreprise spécialiste du Deep Packet Inspection

Alors à quoi ça sert ce truc ?

Déjà ça évite de placer un logiciel chez les clients que des gens trop curieux pourraient reverser, on place donc de la pseudo intelligence de flicage directement sur le réseau d’Orange. Le système est aussi capable d’envoyer des SMS et pourquoi pas des notifications rue de Valois.

Mais qui sont ces gens ?

Quand on regarde un peu l’équipe de KindSight, on trouve pas mal des gens d’Alcatel Lucent (vous savez les gens qui fabriquent des DSLAM) … oh ben tien .. le module HADOPI dont je vous parlais .. directement sur les DSLAM… c’est pas ça ?

Alors clean ou pas ?

Et bien Kindsight a beau expliquer qu’ils sont super respectueux de la privacy, mais quand on lit bien ce truc … on tombe par exemple sur ça :

Le service Kindsight n’analyse pas, à des fins publicitaires, tout le trafic lié aux sites que Kindsight classe comme sensibles, comme les sites liés à la pornographie, la sexualité, la santé, la politique, la haine, la violence, la drogue, ou la criminalité. Ce trafic est, cependant, analysé dans le cadre de la détection d’attaques et d’autres activités malveillantes, à condition que l’abonné ai souscrit au service.

Comprenez : “on analyse pas pour envoyer de la pub, mais pour vous protéger” .. par contre avec le deal de Orange .. on s’en servira aussi pour de la pub… Du coup, ça serait sympa de nous expliquer comment on fait pour envoyer de la pub ciblée à un internaute sans collecter de données… un truc m’échappe là.

Orange vient-il d’inventer la première offre payante de Deep Packet Inspection ?

Vous ne me croyez toujours pas … ?

Et si je vous dit ISP DPI SNOOPING TECHNOLOGY dont Kindsight et son projet RIALTO qui ne semblent pas y être étranger ?

Ça ressemble à s’y méprendre à ça.

…. FEAR …

Merci Alcatel Lucent

**** EDIT ****

Le DPI chez Orange on s’y intéresse depuis 2007 , avec Shenick Diversif Eye 8400 et attention, niveau performances, ça faisait déjà peur à l’époque avec :

  • 16 millions de flux simultanés
  • 500 00 adresses ip traitées
  • 50 000 nouveaux flux à la seconde

“A good challenge for DPI Testing”


Ensuite on trouve aussi ceci … et c’est beaucoup plus récent. On y apprend que Orange s’est fait un nouveau copain : FusionWorks et son manager Openet, et là je lis bien en toutes lettres “Deep Packet Inspection”, ça commence à faire beaucoup de coincidences non ?

“Openet’s FusionWorks Policy Manager product will be integrated with the Deep Packet Inspection solution from Openet partner Cisco Systems. Orange France selected Cisco’s Content Services Gateway (CSG) in conjunction with its purchase of Policy Manager from Openet. The integrated network control and monetization solution will enable Orange France to control its network resources using real time applications of complex rules based on subscriber, service or usage context.”


Il semblerait qu’Orange Mobile connaisse très bien cette technologie. D’ailleurs, je serais curieux de savoir si Orange pratique en France le DPI sur les SMS (la question est également valable pour SFR, vu que Vodafone semble aussi pratiquer). Etrangement, le forum où ça en causait dans la communauté Orange rame … beaucoup …

Si vous aussi le DPI vous intéresse, sachez que pour la modique somme de 5000$ vous pouvez trouver un Shenick diversifEye 8400 IP Tester sur EBAY !!

Et tant qu’à verser dans la paranoia … allons voir aussi si d’autres FAI ne se sont pas penchés sur ce genre de solutions … le menu semble appétissant :

DART Benefits

  • Accurate application identification
  • Granular subscriber, application, and topology visibility
  • Enhanced QoS policy enforcement


Orange : le logiciel de contrôle de téléchargement est retiré de la vente

Il s’est passé beaucoup de choses depuis dimanche dernier, je n’ai pas trop souhaité commenter quoi que ce soit tant qu’une réponse satisfaisante n’était pas apportée.

Aujourd’hui Orange a pris une décision courageuse dans un contexte particulièrement difficile. Dans un communiqué officiel, le fournisseur d’accès retire de sa boutique en ligne sa solution de contrôle de téléchargement.

Orange nous signale également que les données collectées par le dispositif n’étaient en aucun cas destinées à être transmises à la HADOPI. Elles restaient strictement chez le fournisseur d’accès. A ce sujet, je dois dire que même si j’ai eu des soupçons, je suis tout à fait disposé à croire Orange car je doute également que l’opérateur se compromette dans ce genre d’exercice de style qui serait une erreur sur les plans juridiques … et médiatiques.

Je voulais aussi vous parler du reverse du client lui même … Avec fo0 nous l’avons examiné, cherché à comprendre les motivations et ce que nous avons trouvé nous a plutôt rassuré. que vous dire sinon que je suis admiratif de la vitesse à laquelle ceci a été fait et de la qualité du billet posté sur fulldisclosure. L’exploit lui même est un modèle du genre, payload obfuscated, le packaging, la poésie Ruby… les personnes qui ont fait ça ne sont manifestement pas animées de mauvaises intentions, d’autres indices me poussent même à affirmer qu’il n’attaqueront pas et que cet advisory est à pur titre informatif… et ils sont définitivement trop doués pour être idiots.

Cependant, il faut être conscient qu’un risque subsiste pour les personnes qui ont installé le logiciel, Orange est en train de contacter la vingtaine de clients concernés depuis hier après-midi pour leur expliquer l’arrêt de l’offre et les aider à désinstaller le logiciel

  1. Si vous avez installé le logiciel, désinstallez le. Il est vulnérable à des attaques permettant d’exécuter du code malicieux.
  2. Si vous êtes abonné Orange et que vous recevez un mailing vous invitant à télécharger ce logiciel (même gratuitement), renvoyez aussitôt ce mail en pièce jointe avec ses en-têtes complets à [email protected] : il s’agit d’une tentative de phishing visant à infecter votre machine.

Mon sentiment profond, vous le connaissez surement. Ce genre de solution ne peut créer plus de sécurité pour les utilisateurs, l’histoire nous a maintes fois démontré le contraire. D’autres dispositifs existent, j’ai par exemple des soupçons de modules intégrés directement sur les DSLAM chez d’autres opérateurs… mais pas de preuves pour étayer cette hypothèse. J’espère simplement qu’ils auront l’honnêteté de communiquer sur le type de dispositif mis en place, les données collectées ainsi que leur traitement.

Pour conclure je retire un enseignement de tout ça qui me fait fait chaud au cœur, il y a une véritable communauté de hackers en France que je pensais morte. J’espère que les entreprises en prendront bonne note et tenteront de s’en rapprocher, pour ouvrir un dialogue sur les bons usages en termes de respect de la vie privée et de sécurité. Pourquoi ne pas par exemple nous donner tous rendez-vous pour le prochain Pas Sage en Seine ?

HADOPI et failware de “sécurisation” Orange

La sécurité par l’obscurantisme est de l’avis de tous les spécialistes une erreur stratégique. L’épisode d’hier sur le logiciel de “sécurisation” HADOPI était malheureusement dramatiquement prévisible. D’ailleurs Cédric Blancher, il y a quelques jours, signalait l’important risque qui planait autour de ces solutions de “sécurisation” et rappelait de tristes épisodes où ce genre de failwares se sont illustrés.

Et bien l’histoire s’est répétée à croire qu’il ne pouvait pas en être autrement…

Mais quand on y pense c’est quand même assez surprenant :

  • Ensuite parce qu’il semble que des internautes aient trouvé des choses vraiment très suspectes, comme ce HadopiTechnicalServlet qui laisse planner un doute sur ce que deviennent les données collectées par ce logiciel de “sécurisation”.
  • Enfin je me sens assez partagé entre colère, incompréhension et espoir. La colère pour la désinformation et ce n’est pas la première fois que l’opérateur nous fait le coup, l’incompréhension car ceci ne peut profiter à personne, ni aux artistes qui n’y gagneront rien, ni aux internautes qu’on prend manifestement pour des crétins (vous achèteriez une camera de video surveillance municipale à placer dans votre salon vous ?), et l’espoir qu’un jour ou l’autre, tout le monde ouvrira les yeux sur le danger HADOPI.

Mais voyons le bon côté des choses :

La sécurité à deux euros par mois, ça n’existe pas, la sécurité est un ensemble de process, pas un produit.

Orange vous sécurise … ayez confiance !

Si une personne d’Orange pouvait me contacter SVP… il y a un très gros problème avec votre web-console, oui oui … celle du mouchard HADOPI…

EDIT : il semble que Orange et Nordnet aient rapidement réagi, c’est à porter à leur crédit.

On savait que le soft de sécurisation HADOPI allait être un moment bien rock’n roll,et bien voilà, c’est fait ! Les ip de ses clients sont accessibles sur le Net, ça donne vraiment envie qu’Orange vous “sécurise” non ? Il manque plus qu’un OpenOffice en remote et on est blindés 😉

Le logiciel proposé à la vente par Orange est sensé vous prémunir de l’utilisation de logiciels susceptibles de vous valoir les foudres de la HADOPI. En clair, vous payez 2 euros pour ne plus avoir le droit d’utiliser un logiciel P2P, même si ce que vous souhaitez télécharger est légal. En soit le concept est assez crétin. Mais là, le comble c’est la mise en place. Le logiciel communique avec un serveur distant, un servlet java en fait situé sur l’ip 195.146.235.67. Tout transite en clair, et tout est PUBLIC… on a même les IP des clients qui ont activé et acheté ce soft, comme les ip des simples visiteurs de cette page qui va devenir culte.

Pour obtenir l’ip de ce serveur, nous avons “sniffé” les sorties de ce soft avec Wireshark sur notre propre réseau local, du coup, nous n’avons pas eu trop de mal à trouver ce servlet… très drôle non ? C’est pas ça une négligence caractérisée ?

Toujours à propos du soft de “sécurisation” Hadopi par Orange, et surtout du servlet distant, il y a bien pire… un truc ahurissant nous a été signalé sur Twitter, mais nous ne le publierons pas…

J’ai mal à ma Net neutrality

Aujourd’hui, ce n’est pas une news qui me fait réagir mais 2. La première est issue de l’excellent billet de Fabrice dont je vous recommande vivement la lecture et qui épingle Orange comme il se doit … mais Fabrice est à mon sens encore trop gentil et nous allons voir pourquoi. La seconde est une décision de justice américaine qui piquote derrière les yeux.

Allez, c’est parti, on commence svp, par visionner cette nouvelle vidéo, suite d’une longue série thématique sur la définition de chacun de la Net Neutrality lancée par l’ARCEP (que je remercie au passage très chaudement pour cette initiative qui n’a pas finit de faire pisser du pixel). Dernier épisode en date, Stéphane Richard, directeur Général d’Orange, pour qui la Net Neutrality revêt une définition pour le moins assez singulière.


Heureusement que nous avons Orange pour nous faire un petit recadrage sémantique ! Puis c’est vrai ils sont un peu cons à l’ARCEP, ils parlent d’Internet Neutre alors que chez orange l’Internet il est “ouvert”… mais pas neutre … c’est une spécificité d’Orange, ne cherchez pas à comprendre.

Pour vous la faire courte :

  • Orange, Chine et Iran = Internet ouvert (n’importe qui peut se connecter  à un Net qui repose sur des protocoles ouverts… la classe, oui sauf que c’est tout sauf nouveau)
  • Reste du Net (sauf Chine et Iran) = Internet ouvert et neutre.

Rappelons que pour être “ouvert et neutre” (au passage si Internet était fermé on appellerait ça un Lan … AOL a essayé … AOL n’existe plus … CQFD) on ne doit pas assister à ce  mélange des genres entre FAI qui fournissent les tuyaux et producteurs de contenus… ça aussi, c’est une particularité française, merci Universal/SFR, merci Numericable, merci Orange, et dans une moindre mesure mais il a pas dit son dernier mot … merci Bouygues/TF1…

Sur ce point, Stéphane Richard a raison, l’Internet français est ouvert, mais il est loin d’être neutre, pour la bonne et simple raison que certains FAI sont de véritables rapaces et qu’ils n’ont rien trouvé de mieux que d’imposer leurs propres contenus à leur abonnés “en exclusivité”, pour se faire des pépettes.

Maintenant, si vous me demandez si je trouve ça normal … je vous répondrais que non, je trouve ça malsain et honteux, mais encore une fois, le Net français, tu l’aimes ou tu te casses ! Inutile donc de me demander pourquoi ce blog est hébergé en Suède et pourquoi je compte délocaliser à terme tous mes sites. D’ailleurs, je m’amuse de voir que je ne suis pas le seul et que certains parti politiques en font de même ! Je vous rappellerais donc simplement une petite citation de Benjamin Bayart lors de la table ronde à la Cantine sur la Neutralité du Net : “Quand 10% de la population a envie de prendre le maquis c’est qu’on commence à vraiment être dans la mouise“.

Ce terme de neutralité, Orange ne l’aime pas, c’est d’ailleurs assez explicable, il y a certains signaux qui ne trompent pas. Vous ne voyez pas de quoi je veux parler ? Allez je vous aide … “En 2010, pour me remercier de mes compétences en matière d’Internet  et pour avoir appliqué en bon petit soldat la volonté présidentielle de faire voter un texte inapplicable, qui n’a ni queue ni tête et que je n’ai même pas réussi à faire passer du premier coup, je me vois confier un poste de responsable des contenus chez un grand FAI français, ce, afin de porter une nouvelle fois atteinte au principe de Neutralité du Net  … Qui suis-je ? … Bingo Christine Albanel ! Orange a inventé la Net Neuneutrality® .. exception culturelle quand tu nous tiens !

Comment voulez vous qu’un opérateur qui embauche une personne qui a prouvé qu’elle avait non seulement une incompétence manifeste sur ces sujets et qui en plus est à la solde des industries culturelles soit d’accord avec le principe de Net Neutrality ?

Revenons en à l’ami Stéphane Richard qui confesse volontiers ne pas être un spécialiste de l’Internet (là tout de suite comme ça, ma première réaction est de me demander ce que fout ce type à la direction générale du plus important FAI français … pas vous ?). Notez que le monsieur sur la video n’en ramène pas lourd non plus, “je ne suis pas un ancien dans les réseaux, je suis tout neuf”, comprenez “j’y capte rien moi à Internet, j’ai été embauché pour faire de la thune alors venez pas me gonfler avec votre neutralité”. Et la thune, je la fais comme je veux, si je veux que mon FAI soit partenaire avec le Figaro, il ne m’apparait pas choquant que tous mes abonnés se voient interdire l’accès à d’autres journaux ou sources d’actualités en ligne… ou alors ils auront le droit mais ce sera payant… faire payer sur son réseau l’accès à une information gratuite sur tous les autres réseaux pour privilégier ses propres contenus, voilà une idée qu’elle est séduisante … bienvenue dans la vie.com avec Orange.

Assez trollé et si vous souhaitez lire des arguments sérieux “contre” la Net Neutrality, ce sont ceux avancés par Alexandre Archambault, responsable des affaires réglementaires chez Iliad, qui contrairement à monsieur Richard connait bien son sujet. Et encore, après bonne lecture, vous comprendrez que la position d’Alexandre, fort juste, ne va pas tant que ça contre la “bonne intelligence” d’une Net Neutrality responsable, cohérente, où toutes les parties seraient gagnantes, vous verrez en plus que c’est quand même dit avec une autre classe et une réflexion plus poussée que ce que nous sert monsieur Richard… Toujours suite à cet argumentaire d’Alec, je vous invite ensuite à lire la réponse de Benjamin qui vaut comme d’habitude son pesant de cacahuètes.

Ce qui nous mène au second point de ce billet qui est l’affaire FCC vs Comcast, un opérateur qui s’était fait taper sur les doigts car il s’adonnait à du trafic shaping un peu trop prononcé sur les réseaux P2P. Cette décision en appel n’a évidemment pas non plus échappé à Fabrice. L’affaire remonte à 2007, la FCC (Federal Communication Commission) qui est l’équivalent de l’ARCEP aux USA avait sommé Comcast, le Orange local, de ne pas s’adonner au filtrage des contenus au nom du priincipe de Net Neutrality. Elle gagna le procès contre l’opérateur en première instance marquant ainsi un point en faveur de la Net Neutrality. La cour d’appel fédérale a tranché, la FCC n’a pas le droit  d’imposer la Net Neutrality à Comcast. La décision en appel intervient à un moment particulier, car croyez le ou non, les USA sont un véritable désert numérique … aux USA, ils n’ont pas Free, ils n’ont rien compris. L’offre plafonne souvent à 5 mégas sur un réseau câblé vieillissant et la FCC lance un plan national en faveur du haut débit. La FFC comptait bien faire de la Net Neutrality une composante importante de son plan et pour qui connait Internet, on se rend vite compte que non seulement c’est la bonne méthode mais qu’en plus cette Net Neutrality est nécessaire pour qu’un accès au haut débit se fasse dans les meilleures conditions pour tous (et là je pense surtout accord de peering pour les petits opérateurs locaux qui pullulent aux Etats Unis). Cette décision est fort intéressante, car elle est à mettre en parallèle avec l’action de l’ARCEP dont on sait qu’elle n’a qu’un rôle consultatif … un peu comme une Haute Autorité sans autorité (oh c’est un peu facile … mais oui … comme HADOPI). Sauf  que contrairement à HADOPI, l’ARCEP a une utilité réelle et coûte au contribuable 10 à 50 fois moins cher. Si les avis de l’ARCEP sont consultatifs, ils n’en demeurent pas moins souvent fort respectés car guidés par la bonne intelligence, pour le bien commun et pour le bien des réseaux.

Attention, cette décision de la cour d’appel fédérale ne veut cependant pas dire que la Net Neutrality est morte aux USA, cette problématique reste au coeur des préoccupations des internautes américains comme des politiques qui se sont emparés de cette cause, flairant l’importance que ce débat revêt pour une démocratie saine. Il faut donc s’attendre à de nouveaux rebondissements sur ce dossier très sensible.

Les 6 bonnes raisons d’Orange de choisir Christine Albanel comme directrice de la communication et des contenus

1° Pour Christine Albanel les mots ont un sens :
«  La caricature affreuse qui consiste à présenter cette haute autorité, composée de magistrats, comme une sorte d’antenne de la Gestapo est particulièrement ridicule » © 2009 Christine Albanel

2° Christine Albanel connait tous les procédés industriels et artisanaux de forge d’adresses IP  :
«La Quadrature du Net prétend porter la voix de centaines de milliers d’internautes mais nous savons qu’ils ne sont pas représentatifs (…) Il s’agit juste d’un groupe de pression qui s’est emparé de cette cause de manière illégitime et qui fabrique des adresses IP pour envoyer des mails ! ». © 2009 Christine/24 Albanel

3° Christine Albanel est un manager hors pair qui sait tenir ses équipes :
«Ce sont cinq gus dans un garage qui font des mails à la chaîne » © 2009 – Cabinet de Mme Albanel

4° Christine Albanel maîtrise parfaitement IPV3,14116…. IPV4, IPV6 et IPV12
«Le nomadisme, c’est vrai qu’il existe. Bon, la grande majorité c’est quand même des adresses IP fixes, vous avez un abonnement et vous avez une immense majorité d’adresses IP fixes. Toutefois actuellement la question des adresses IP dynamique peut être résolue par les prestataires de service spécialisés qui sont chargés de récolter les adresses des pirates, car ça va au fond très vite. Il y a toujours une traçabilité des adresses IP. Le FAI sait toujours l’adresse IP à un moment donné, c’est une question qui peut être résolue. » © 2008 Christine Albanel

5° Christine Albanel trouve toujours des solutions adaptées à des problématiques complexes :
«Là d’ailleurs, on pourrait suivre la préconisation du CGTI qui a évoqué la mise en place d’un portail blanc, c’est-à-dire au fond la possibilité que les bornes ne permettent l’accès qu’à un nombre déterminé de sites de façon à ce qu’elle ne puisse pas a priori servir à pirater et cette liste pourrait être établie en concertation avec toutes les parties de façon à ce qu’elles puissent permettre de répondre aux besoins de la vie quotidienne, sans qu’elle puisse servir de base de lancement du piratage, en quelque sorte. Voilà. » © 2009 Christine Albanel

6° Christine Albanel va présenter un white paper intitulé “how to crack TOR” au prochain Chaos Communication Camp :
«Il y aura toujours de la délinquance, on peut toujours être astucieux bien naturellement et développer toute sorte de choses. On peut d’ailleurs développer des contres logiciels pour lutter contre ceux qui vous permettent de dissimuler des adresses IP. Mais ce n’est pas parce qu’on détourne quelque chose qu’il faut pour autant cesser de défendre une cause à laquelle on croit, en l’espèce la défense des droits d’auteur. (…) Et le but n’est pas de parvenir à une éradication absolue du piratage, mais c’est de le faire baisser très sensiblement ». – © Christine Albanel – 2009

Bienvenue dans la vie .com !

Illustration honteusement piratée sur http://www.cinqgusdansungarage.org/