Article 226-15 du code Pénal : « Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende.
C'est très rapidement, à l'échelle de l'histoire d'Internet, qu'est apparue l'idée de filtrer ou de gérer le trafic. Le gérer, non plus seulement en fonction des données réseau, des adresses IP de destination et de source ainsi que des informations (metadatas) de routage du réseau. Mais aussi en fonction du contenu du message. La boite de Pandore était alors ouverte.
Lorsque deux systèmes d'exploitation, deux ordinateurs, communiquent sur Internet, ils s'échangent des messages, l'image d'une correspondance postale, souvent évoquée, vous permet de visualiser de manière simple les échanges sur le réseau. L'émetteur écrit une lettre, puis vient la réponse de celui qui était initialement le destinataire alors devenu émetteur. Le schéma se répète, destinataire et emmetteur endossent alternativement l'un des deux rôles.
Dans cette partie de notre dossier spécial Deep Packet Inspection, nous allons tenter de rappeller quelques notions indispensables à la bonne compréhension de la suite. Nous commencerons donc pas un bref rappel sur ce qu'est Internet d'un point de vue historique, ce avec un angle légèrement technique. Le Deep Packet Inspection traite aussi (et surtout) la problématique de la sécurité, et malheureusement, du sécuritaire.
En termes de Deep Packet Inspection (DPI), la France a un véritable savoir faire. Que recoupe ce terme barbare pour geeks ? L'inspection en profondeur de paquets, c'est avant tout une technologie, aujourd'hui parfaitement industrialisée pour l'analyse et la classification du trafic réseau. Contrairement aux apparences, cela ne concerne pas que les pros de la technique, mais bien tous les individus qui se connectent à Internet et l'utilisent. Pourquoi ?
Pour fêter l'eG8 qui devrait se tenir dès demain, Reflets.info (mais pas seulement, puisque nos confrères d'OWNI et même la presse traditionnelle s'intéressent beaucoup à ces questions) va vous offrir une petite série d'articles sur les technologies d'inspection en profondeur de paquets (DPI, pour Deep Packet Inspection). L'eG8 se tiendra demain et après-demain (les 24 et 25 mai) dans le Jardin des Tuileries, à Paris.
Les services de l'Education nationale seraient-ils en pleine communication de crise? Il semble que le ministère encourage les académies à rappeler à leurs correspondants certaines "consignes de sécurité". Rien à voir avec une nouvelle marque d'extincteur. Ça concerne plutôt la protection des accès aux fichiers informatisés des élèves.
Cette fois ci, ça risque d'être un peu moins drôle : Trident Media Guard se voit exposé dans la liste Full Disclosure. Dans nos articles sur la fuite de données, nous n'avions pas souhaité nous étendre sur l'exécutable. Le Cult of Dead HADOPI qui s'était déjà illustré en démontant le logiciel de contrôle de téléchargement d'Orange, revient avec un second advisory concernant TMG.
EDIT 4 : Voici un petit POC pour une non faille de test volontaire. Les spameurs doivent se régaler depuis des années... EDIT 3 : Comme promis, c'est chez Korben que ça se passe pour l'explication de l'exploitation de cette "non faille". EDIT 2 : Il y a bien un loup, Korben va ouvrir le bal du GoogleID vs ugly marketers d'ici quelques minutes... stay tuned. EDIT : plusieurs internautes nous signalent que cette faille était connue depuis 2008.
Il était une fois, au siècle dernier, un dessin animé pas très fin, mettant en scène un inspecteur bardé de gadgets. A chaque souci, il prononçait une phrase "go-go-gadget-o-..." et faisait apparaître des outils improbables pour se sortir d'affaire. Il était une fois, au siècle dernier, des entreprises, des ministères, des armées qui investissaient le Web avec trois bouts de ficelle ou des millions, mais pas une once de connaissances en sécurité informatique.
Dans un mail rendu public sur Electron Libre, Marc Guez s'adonne à un exercice de style pour le moins périlleux, portant des accusations étranges. Dans quelques lignes, monsieur, Guez, vous risquez de ressentir ce qu'il convient d'appeler un grand moment de solitude. Nous vous prions donc de bien vouloir par avance nous en excuser, mais cette mise au point n'en demeure pas moins nécessaire.
La réponse de TMG suite à la fuite de données du week-end dernier me laisse assez songeur. En fait au début je l'ai trouvée assez drôle, le mot de passe devait sûrement être un mot de passe de test qui pointait vers une machine du LAN de test de TMG... OK, admettons... Mais ça commence quand même à être un peu gros. Arrive ensuite la liste des faux utilisateurs de "test", en dur dans le code de l'application.
En 1994, apparaissait le Web. L’un des premiers sites était Playboy.com. Depuis cette époque, toutes les entreprises ont ouvert une vitrine sur cette sous-partie d’Internet. Avec l’explosion du nombre d’ordinateurs interconnectés, sont apparus… les piratages. Car ce réseau a été bâti pour faire un nombre incroyable de choses, mais pas du commerce sécurisé. Tout est troué, mal installé, mal pensé. Les contraintes liées à la sécurité empêchent de faire du commerce en rond. Elles le compliquent.
Nous avons pu observer qu'une archive contenant le logiciel utilisé par TMG pour piéger les internautes sur les réseaux P2P se baladait sur de nombreux sites de téléchargement. L'exploitation de ce logiciel est, nous vous le rappelons, illégale. Aussi nous vous incitons à ne SURTOUT pas le lancer, il se connecte sur le réseau. Une étude de ce logiciel présente un mot de passe en clair qui laisse rêveur puisqu'il aboutit sur une IP locale du LAN de TMG.
Les toutes récentes fuites à gogo relatées par Reflets.info ces derniers jours donnent des vertiges (ici chez Sony, là plus près de chez nous, ou encore ce braquage à l'américaine). Il parait que la CNIL s'intéresse fortement au cas Sony, très emblématique. Des données commerciales à l'air libre, quelle horreur!
Nous avons révélé cette nuit sur Reflets les mauvais effets que produisent un mauvais dispositif. Comme d'habitude,ça se termine en fuite. Sauf que là on a quand même de la fuite de gros calibre avec un monumental fail de la part du seul acteur qui ne devrait pas avoir droit à l'erreur. TMG est une entreprise privée, mandatée par les ayants-droit pour constater les infractions des internautes sur les réseaux peer to peer. Comprenez que TMG est une sorte de mercenaire à qui on impose des quotas.
C'est tellement énorme que c'est à se demander si TMG n'est pas récemment devenu une filiale de Sony, ou si ce que vous allez découvrir n'est pas un honeypot. A tout hasard, et vu qu'il y a quand même un paquet d'IP, nous n'allons pas faire tourner l'adresse de cette machine.
Les attaques aux libertés numériques sont légion. En France, on en parle même plus tellement ça devient lassant... et il va falloir tenir encore au moins un an. Le soucis d'aujourd'hui est européen. A croire que la claque qu'a pris ACTA ces derniers mois, loin de calmer certains lobbys, les a incité à opérer en dessous de table. Ce n'est pas franchement une surprise, la méthode est particulièrement courante. Korben, Numerama, 20Minutes, Owni...
A l'occasion de la visite de Frédéric Mitterrand dans les locaux de la haute autorité, où le ministre n'a pas eu grand chose à dire à la presse en dehors de son discours lu, nous avons eu l'immense joie d'apprendre que 50% des internautes ayant reçu un mail arrêtaient net de télécharger. C'est une grande victoire pour HADOPI, il convient de saluer ce score. Du coup, pas besoin d'une HADOPI 3, pas besoin de mauvais débats pour une nouvelle mauvaise loi.
Vous avez peut-être noté que Skype venait tout juste, aujourd'hui, d'être racheté par Microsoft pour 8,5 milliards de dollars. On peut troller ensemble des heures là dessus, Skype n'était déjà pas libre avant ce rachat et Microsoft (qui devrait finir par l'implémenter dans MSN et à terme, tuer Skype.. bon ok je troll là) mais toujours est-il que la confiance que j'accordais en Skype vient tout logiquement de prendre un sacré coup.