décembre, 2010

Recalée : la loi anti-cyberpiratage dite « loi Sinde » (du nom de l’actuelle Ministre de la Culture Espagnole Ángeles González-Sinde), vient d’être rejetée de très peu par 20 voix contre 18… un ballot qui rappelle étrangement le premier dérapage du vote nocturne d’Hadopi et ses « députés socialistes cachés derrière les tentures ». Tout comme Hadopi, le scrutin a été entamé à une heure tardive : 21H30. Tout comme Hadopi, ce premier rejet n’est pas une certitude de victoire pour les défenseurs de la liberté d’expression sur Internet, puisque la loi sera représentée devant le Sénat le 18 janvier prochain.

Une loi qui, depuis quelques temps, provoque bien des remous chez les Ibères. Son auteur, tout d’abord, la Ministre Sinde, qui est à la fois juge et parti, scénariste, réalisatrice, présidente de l’Académie des Arts et Sciences Cinématographique d’Espagne, fondée par son père. Par ailleurs, dans le fouillis des dépêches du « Cablegate Wikileaks », les détracteurs de la loi ont découvert la preuve que les Etats-Unis ont « activement encouragé » (pour ne pas dire « fait pression ») sur le Gouvernement Zapatero (d’obédience socialiste) pour qu’un tel texte soit voté. Le monde geek espagnol, fierouche et far*, ne peut que rejeter une loi « téléguidée » par une puissance étrangère. Ce serait là la première conséquence politique directe de l’affaire Cablegate.

Du côté des sites visés, le mécontentement grandit**, et des actions collectives de « site en berne » se multiplient… Ces serveurs grévistes de l’échange de fichiers revendiquent 70 % du volume du trafic Internet, et veulent par ce coup d’éclat faire tonner un « assourdissant silence » qui n’impressionnera que quelques statisticiens spécialistes de la QoS et pourrait bien donner des arguments en faveur du « clan Sinde ».

Et pourtant, qu’il était raisonnable, ce texte venu de l’autre côté des Pyrénées. Il se « contentait » de répertorier les sites de partage afin d’en contrôler le contenu. Charge aux fournisseurs d’accès, et après décision de justice (et non d’une commission constituée de représentants financièrement impliqués) d’en bloquer l’accès ou en fermer l’hébergement s’il était situé sur le territoire. De chasse à l’internaute ? Point. De délit d’incompétence technique ? Point. De vente forcée de logiciel commercial ? Point. De double peine par suppression d’un bien universel tel que l’accès Internet ? Point. De décision arbitraire confondant numéro IP et personne physique ? Point. Comme pour tout combat intelligent visant la contrefaçon, cette loi s’attaquait non pas aux consommateurs, mais aux premiers bénéficiaires, les grands centres de téléchargement.

Reste que le sceau d’infamie jeté sur un site faisait l’objet d’une procédure expéditive, les juges ne disposant que de quatre jours pour ordonner ou non la fermeture d’un serveur… autrement dit une totale absence de recul et de sérénité pour juger du caractère illégal du contenu d’un serveur ou d’un service. A ce reproche s’ajoute le fait que l’instance la plus active dans la lutte contre le piratage aurait été une « commission de la propriété intellectuelle », directement placée sous la tutelle du Ministère de la Culture. Une manière comme une autre pour que le Ministère s’autosaisisse d’une affaire et décide de censurer un site… que vaut la tête d’un juge face à la décision d’un Ministre ?

En outre, les fournisseurs d’accès eux-mêmes ont refusé en bloc de jouer le rôle de « flic du net », pour des raisons principalement techniques et économiques. Il faut bien admettre que bannir l’adresse IP ou le nom de domaine d’un « dépôt pirate » (ou moteur d’index torrent et assimilés) ne sert pas à grand-chose compte tenu de la rapidité avec laquelle un « redirecteur » peut être installé.

La « bataille Sinde » est loin d’être une victoire, comme semblent le clamer les activistes et hacktivistes d’Outre-Pyrénées. En recalant une loi techniquement inapplicable (ou ayant de fortes chances d’être rendue inapplicable tant par les juges saisis que par les FAI), nos voisins Ibères pourraient bien inciter le « parti Sinde » à adopter une attitude différente, celle qui consiste, comme en France, à chasser le mal en s’attaquant aux consommateurs et non plus aux trafiquants. Une technique qui, bien que totalement inefficace sur un plan technique, rapporte à terme bien plus d’argent dans les caisses de l’Etat.

*ndlc Note de la correctrice : Astérix en Hispanie

**ndlcb Note de la correctrice bis : Car il est Espagnol aurait dit la Périchole

« On a eu comme un problème durant la journée du 22 décembre » avoue un billet publié sur le blog de Skype. Les supernodes (hantise des administrateurs réseau) seraient tombés pour des raisons inconnues… ce qui a eu pour conséquence une interruption de service s’étendant de 18H à 23H30 (heure de Paris). Pour rétablir le service, les ingénieurs de Skype ont dû créer des « méga-supernodes », version probablement encore plus cauchemardesque du supernode consommateur de bande passante sur un Lan d’entreprise.

Si le problème est purement technique, il met en évidence la fragilité du réseau Skype par rapport aux mécanismes de téléphonie traditionnels ou reposant sur des infrastructures SIP segmentée. Si la panne est le fruit d’une attaque quelconque (déni de service), les conséquences seraient encore plus graves.

Quoi de plus catastrophique qu’une panne informatique pour un cybercommerçant durant la semaine des fêtes de fin d’année ? Une guerre nucléaire à la rigueur… c’est en tout cas ce qu’a dû penser la DSI de BestBuy.com, énorme chaîne de distribution Américaine, qui en est à près de 3 jours d’interruption de service si l’on en croit les statistiques fournies par Netcraft. Il est intéressant de noter que BestBuy est « caché » par les services d’Akamaï, et a basculé ses services sur AkamaiGHost depuis le 19 décembre, date à laquelle se sont déclenchés les problèmes, note Netcraft.

Vupen, éditeur d’outils de pentesting, signale l’existence d’une faille encore inconnue dans Internet Explorer. Le ZDE exploiterait un défaut situé dans le parser chargé du traitement des règles d’importation des CSS d’une page Web, et une preuve de faisabilité est diffusée, par le biais d’une séquence vidéo, par l’équipe technique d’Abysssec. La vulnérabilité a été ajoutée à la panoplie des extensions Metasploit. Techniquement parlant, l’exploit en question n’est pas considéré comme étant utilisé « dans la nature ». Chez Microsoft, la façon de voir les choses est sensiblement différente, comme le fait remarquer un article de Brian Krebs sur le sujet. « Compte tenu de la diffusion publique de cette vulnérabilité, la probabilité d’une utilisation criminelle de ces informations dans le cadre d’une attaque visant nos clients peut sensiblement augmenter » dit en substance Dave Forstrom, directeur de l’équipe trustworthy computing chez Microsoft. Et de publier immédiatement un bulletin d’alerte.

Tiens, la tête d’une vieille chimère Unixienne vient de réapparaître : l’affaire des trappes de la NSA dans les codes « open ». Version lisible et simplifiée dans les pages de notre confrère Guizmodo, édition originale « special geeks » dans les archives de la Mailing List Openbsd-Tech. En deux mots, Gregory Perry, l’un des développeurs d’un stack IPSec sous BSD vient d’avouer qu’une partie de ses productions contiennent une porte dérobée offrant au FBI un accès en lecture directe sur les vpn employant ladite pile.

Considérée parfois comme une légende, parfois comme une « raison non prouvée mais nécessaire et suffisante », cette histoire de « trappes NSA » (ou autre « agence à trois lettres ») fait partie de l’arsenal des arguments marketing de tout bon vendeur de produits de sécurité. Arguments d’autant plus fondés que des pans entiers de code BSD ont été réutilisés, notamment sous Linux, rendant « non négligeable » la probabilité de retrouver lesdites trappes dans un code Debian par exemple.

Dans les faits, cet aveu risque d’avoir deux conséquences : l’une bénéfique, l’autre légèrement enquiquinante. La bénéfique, tout d’abord, car une telle annonce bat en brèche la certitude béate qu’un code Open Source est dénué de pièges « car nécessairement un membre de la communauté s’en serait aperçu »… découvrir une aiguille dans une botte de code de plusieurs centaines de milliers de lignes est une tâche quasi impossible, surtout si l’auteur de la backdoor est un dieu de l’écriture C « vicieuse et non documentée ». Cette prise de conscience est un pas supplémentaire vers des noyaux encore plus stables, encore plus sécurisés.

La conséquence ennuyeuse est le corollaire de la précédente : le risque d’une perte de confiance (injustifiée à notre avis) dans les programmes open source, voir un excès de paranoïa envers tout ce qui touche à l’informatique en général car le monde Windows lui aussi utilise des portions de code provenant de BSD. Dans l’immédiat, les premiers à en souffrir seront les vendeurs de vpn (logiciels ou sous forme d’appliance) qui, dans les mois à venir, devront justifier de l’origine des programmes employés et calmer les craintes de leurs clients.

Côté risque, cette « révélation » a un impact plus psychologique que technique. Régulièrement, le landernau informatique connaît des « fins du monde » spectaculaires : failles ASN1, défauts Bind/DNS, trou BGP… et pourtant, la nave va. L’aveu de Gregory Perry arrive 10 ans après son forfait. Depuis, les codes ont évolué, sont truffés de correctifs, d’améliorations, de portages, de variantes et sur-couches… lorsque l’on a, ne serait-ce qu’une fois dans sa vie, tenté d’adapter une « lib » d’une plateforme à l’autre ou essayé de modifier un logiciel sans que ses fonctionnalités premières « connues » ne soient affectées, on peut douter que le canard de Gregory Perry soit toujours vivant après tant d’aventures.

Le monde de la sécurité adore les mots nouveaux désignant des menaces aussi redoutables qu’alambiquées. La dernière en date –et à la mode-, c’est l’AET, pour Advanced Evasion Techniques, une découverte à la fois technique et sémantique de Stonesoft qui permettrait de contourner les protections des IPS en général et ceux de Cisco en particulier. Après plus de 6 mois de travaux discrets, le danger serait écarté et la divulgation de détails techniques autorisée. La liste des vulnérabilités et des captures associées est fournie par le blog Antievasion. L’on y trouve également un historique détaillé des AET rédigé par Joona Airamo, CSO de Stonesoft, qui vulgarise sans grands mots abstrus cette technique initialement découverte par Tim Newsham et Thomas Ptacek vers la fin des années 90.

La Quadrature du Net éclaire à sa manière l’article 4 de la Loppsi : en invoquant la protection de l’enfance, les députés ont fait passer un texte généralisant le filtrage d’Internet « sans supervision de l’autorité judiciaire ».

Un filtrage inefficace, précisent les auteurs de ce communiqué, car cela ne bloquera en rien les trafics de contenu à caractère pédophile par d’autres réseaux d’échange. Ergo, conclut en substance Jérémie Zimmermann, porte-parole de La Quadrature du Net, la lutte contre les cyber-pédophiles n’est qu’un prétexte pour renforcer le flicage du Net, tout en évitant de s’attaquer directement au problème de fond.

L’on pourrait même s’interroger, de manière plus générale, sur l’efficacité de la méthode prétendument appliquée par la Loppsi. Elle se résume peu ou prou à chasser le «consommateur » et ne cherche pas à protéger les victimes en frappant directement les pourvoyeurs. Dans le domaine de la prostitution ou du trafic de drogues illicites, la traque du client s’est toujours avérée inefficace, tandis que le travail d’enquête sur le terrain visant à remonter les « filières » et ainsi décapiter le réseau est systématiquement payant. En matière de pédopornographie, la question est d’autant plus délicate que la « source » est avant tout une victime, difficile à secourir compte tenu des lourdeurs et lenteurs des procédures judiciaires et policières transfrontières, notamment entre l’Europe et les pays de l’Est.

Cet article 4, à l’instar de bon nombre de dispositions de la Loppsi visant à policer les NTIC, se résume à une tentative de réponse technique inadaptée dans le but de résoudre un problème essentiellement politique… et humain.

Probablement pour éviter tout risque de fuites d’information et toute dépense inutile dans le déploiement d’outils DLP, MM les sénateurs UMP Gérard Longuet et Gérard Cornu ont soutenu et fait voter une loi permettant à l’Etat de vendre à la petite semaine le fichier des immatriculations automobiles (dit « fichier cartes grises »). Un scoop signé Elisabeth Fleury du Parisien.

Demi-scoop devrait-on dire, car cette pratique serait en fait relativement ancienne. L’Etat se serait transformé en « data broker » depuis au moins 1983, avec une discrétion digne des actions classées « confidentiel défense ». Un fait que rappelle d’ailleurs une communication de la CNIL. Plus étonnant encore, cette même Cnil déclare que chaque automobiliste peut s’opposer à ce commerce de données personnelles, car précisément, depuis 2006, « le formulaire de demande de certificat d’immatriculation contient une case à cocher permettant aux automobilistes de s’opposer à ce que leurs données puissent être réutilisées à des fins de prospection commerciale. »

« Une case à cocher permettant de s’opposer »… n’est-ce pas là une clause d’opt-out considérée comme illégale en Europe en général et en France en particulier ?

Dans les colonnes de notre confrère Rue 89, Corinne Lepage, député au Parlement Européen et actuelle présidente de Cap21 (mouvement vert) va plus loin et considère l’ensemble de ces dispositions comme totalement illégales et anticonstitutionnelles. Trois articles de la loi Informatique et Liberté sont clairement violés, explique l’ex Ministre de l’Environnement (quatre si l’on considère l’usage d’une case « opt out » dans les formulaires de demande de carte grise). On espère donc une explication de la Cnil un peu plus circonstanciée qu’un simple « tout va bien, nous avons rappelé le principe de la loi ».

La nouvelle a fait l’effet d’un coup de tonnerre dans les salons lambrissés de la Commission Hadopi, dans les couloirs du Ministère des Industries des Divertissements et Variétés, et dans les bureaux du RIAA : un blogueur activiste New-Yorkais serait en train de bâtir un nouveau réseau d’échange de médias et de fichiers à l’aide de clefs USB cimentées dans les murs d’édifices citadins, dans les jointures d’un trottoir, les soubassements d’une pile de pont ou les pieux d’un débarcadère (d’où le surnom de « pier to pier »). Déjà, 5 « dépôts » sont actifs dans Manhattan. La preuve en image est à consulter sur le site du coupable.

Déjà, la connaissance du Savoir Imprimé en dehors de tout contrôle par DRM avait secoué le monde de l’édition. De dangereux irresponsables, qui se désignent eux-mêmes comme des militants du Book Crossing, avaient mis sur pied un véritable réseau d’échange totalement anonyme, rendant impossible la localisation du « téléchargeur » d’ouvrage par une quelconque adresse IP ou le support d’un FAI. Avec cette escalade technologique, avec le remplacement de l’échange-papier par l’échange de fichiers MP3, Jpeg, AVI, MKV et autres supportés par ces sinistres clefs USB camouflées dans le paysage urbain, il devient de plus en plus difficile de mettre la main sur cette population qui cause la ruine des idoles du Top 50, de la Staracc et de la Nouvelle Star réunies.

Les réactions des premiers participants montrent toutefois que les usagers potentiels sont conscients des dangers de ce genre de pratique. Le risque est grand en effet de voir ces clefs utilisées pour y disséminer des virus, tout comme cela est déjà le cas sur les réseaux P2P. L’on pourrait également ajouter que ces sortes de « boîtes à lettre numériques » peuvent être utilisées par des réseaux terroristes ou des espions à la solde d’une puissance étrangère. Elles remplaceraient avantageusement (et avec une capacité bien plus importante) les techniques anciennes telles que le paquet caché sous le côté droit du cinquième banc de la troisième contre-allée de Central Park. C’est du moins ce que confiait à la Rédaction un honorable correspondant de notre DCRI nationale.

A en juger par les « trackback » qui suivent ce billet, le projet risque de prendre une ampleur internationale. L’information a en effet été relayée par la presse Américaine, Allemande, Britannique, Chinoise, Coréenne, Russe, Polonaise, Espagnole, Israélienne, Japonaise, Arabe, Grecque, Hollandaise… Aram Bartholl et son « digital glory hole » (sic) pèse désormais plus de 50 000 citations par requête Google.

Que peut faire l’IRCGN contre une telle menace ? Les conjectures vont bon train. Certains envisagent d’installer une caméra de vidéo surveillance protection DLP DRM en face de chaque clef signalée à la police grâce au secours bienveillant d’un réseau d’informateurs. La Cnil s’interroge sur les dérives liées à la possible géolocalisation des listes d’usagers, et les mouvements de défense du Libre –April en tête- s’insurgent de cette stigmatisation et rappellent qu’une « ISO » de Linux peut être légalement partagée grâce à ce nouveau type de réseau. Les Hautes Autorité de Défense des Droits des Producteurs de Variété en Péril évaluent la possibilité d’installer des « programmes d’infiltration de sécurité » sur les clefs les plus fréquentées, et demande que la prochaine loi de finance accroisse au-delà de la limite des 235% la taxe de dédommagement aux industriels du divertissement pour le manque à gagner aisément prévisible. Les FAI français dans leur ensemble (à l’exception de Free) pensent qu’il sera nécessaire d’entamer une procédure auprès de la DGCCRF pour contrer cette concurrence déloyale. Anéfé, est-il utile de rappeler que ce procédé est en totale contradiction avec les lois légiférant le métier d’opérateur, car il équivaut techniquement à un véritable réseau de communication devant être soumis aux contraintes techniques, fiscales et déontologiques fixées par l’UIT.

Ndlr Note de la Rédaction : Un informateur anonyme vient de prévenir la rédaction de CNIS que cette lèpre numérique serait sur le point de frapper la France. Un connecteur USB de type A mâle aurait été vu dans les joints de la Cinquième Colonne du Ministère de la Marine, place de la Concorde.

Le Sans a titré « activité DDos intéressante autour de Wikileaks », tandis que Netcraft a affiché l’électroencéphalogramme plat de Visa.com, bien entendu bâillonné par le déluge d’un formidable déni de service provoqué par certains supporters de Julian Assange. Cette attaque porte même un nom : Operation Payback, orchestrée via Twitter (compte désactivé dans la matinée du 9 décembre).

De prime abord, il s’agit là d’un acte condamnable à deux titres. En premier lieu, une attaque en déni de service est un acte de cyber-délinquance caractérisé, une méthode de voyou qui met hors la loi tous ceux qui y participent. D’autre part, les responsables de ces actes semblent ne pas goûter le paradoxe de leurs actes. Car, au nom d’une certaine liberté d’expression et d’un combat militant contre l’occultation d’informations, ces « combattants de la liberté » se rendent à leur tour coupable de censure et d’intolérance. Combien d’entre eux ont entendu parler de Voltaire et de son « Je ne suis pas d’accord avec ce que vous dites, mais je me battrai jusqu’à la mort pour que vous ayez le droit de le dire »* ?

Mais à bien y regarder, l’homme sécurité –et cartésien- qui sommeille en chacun de nous se demandera qui, chez Visa, chez Amazon, Mastercard, Paypal ou Postfinance, est en charge d’une réelle politique de sécurité et de l’impact sur l’image de marque, et pourquoi cette personne n’est pas intervenue (ou pour quelle raison son avis n’a pas été retenu) lorsque lesdits organismes ont décidé de prendre leurs mesures « anti-wikileaks ». Car prendre la décision unilatérale de bloquer un compte en banque, une filière de transfert d’argent ou l’hébergement d’un site manifestement militant, c’est s’exposer de facto à ce genre de riposte aussi irréfléchie. Wikileaks possède un atout de taille : son pouvoir de victimisation. Tout acte intenté contre l’institution ou l’un de ses membres sera interprété et médiatisé comme une persécution. Un pouvoir qui est interdit aux banquiers, aux hébergeurs, aux industriels. Qui donc, sans pouffer de rire, serait capable de répéter trois fois de suite « pauvre petit Visa » en caressant l’un de ses Pédégé dans le sens du cigare ?

Le fait serait nouveau que l’erreur serait pardonnable ; mais les précédents, tant politiques qu’hacktivistes, sont trop nombreux pour que ce soit une nouveauté. Visa est tombé sous les coups de ses propres erreurs de jugement. La violence est un apanage d’Etat, qui légitimise ses actes en raison d’une morale, d’une politique ou de sa force. Une entreprise n’a ni la puissance, ni la légitimité d’un Etat, et ne peut donc rendre justice elle-même. Le ferait-elle qu’elle accepterait que la partie adverse agisse de même. Et si les principaux tenants du parti « anti-wikileaks » ont agi dans les limites du droit de leur pays, ils ont commis une énorme erreur politique, celle de ne pas se protéger, se « couvrir » derrière les instances supérieures d’une nation. Elles ont surtout commis l’erreur de tenter de résoudre un problème politique avec une réponse technique.

NdlC Note de la correctrice : phrase totalement apocryphe, mais qui résume dans les grandes lignes une partie de la pensée du patriarche de Ferney, par ailleurs partisan de l’esclavage et défenseur acharné de la pensée gnostique.