La vie est mal configurée

Aller au contenu | Aller au menu | Aller à la recherche

samedi, janvier 21 2012

Nos torts avec TOR

Connaissez-vous le réseau TOR ? Il s'agit d'un service d'anonymisation et de chiffrement des communications en ligne, destiné notamment aux dissidents des pays non démocratiques. Bien entendu, les gouvernements de ces pays n'entendent pas se laisser faire, et veulent pouvoir continuer à censurer des sites qui ne leur conviennent pas et à espionner leurs dissidents. La vidéo suivante propose une analyse des manœuvres de ces gouvernements.

Lire la suite...

jeudi, décembre 8 2011

Assignation anti-AlloStreaming : attention au statut d'hébergeur

La page 46 du PDF de l'assignation anti-AlloStreaming contient un argumentaire intéressant : selon les plaignants, le site AlloStreaming ne peut se parer de la qualité d'hébergeur (par opposition à éditeur, selon la distinction introduite par la Loi sur la confiance dans l'économie numérique) notamment parce qu'il impose un cadre graphique avec des intitulés de rubrique, et que ces rubriques indiquent explicitement l'intention de pointer vers du contenu contrefaisant, donc illicite.

La dernière partie de la phrase précédente est d'importance. Imaginons que le simple fait d'imposer à un site un cadre graphique, des intitulés de rubrique, des buts généraux à un site Web fasse perdre la qualité d'hébergeur, et que celle-ci soit ainsi réservée aux sites dont l'intégralité des contenus et des buts est à la décision de l'utilisateur. Selon pareille interprétation :

  • Wikimedia Foundation, hébergeur notamment du site Wikipédia, serait un éditeur, puisque cet organisme impose sa présentation, son logo, ainsi que les buts généraux du site.

  • Les bloggueurs ne modérant pas a priori les commentaires seraient responsables de ceux-ci comme éditeur.

J'espère que l'interprétation du tribunal sera bien de restreindre ces argumentaires aux cas où les buts généraux et les intitulés de rubriques imposés par l'hébergeur sont en eux-mêmes annonciateurs de l'intention de profiter d'activités illicites.


Assignation en référé, demande de filtrage : vigilance

Elle a fait beaucoup parler d'elle dans les milieux spécialisés, mais n'a je crois pas encore très couverte par les médias grand public : l'assignation « contre AlloStreaming » devant le Tribunal de Grande Instance de Paris. Expliquons un peu les enjeux, qui dépassent d'ailleurs largement la lutte contre le « piratage ».

Les grandes lignes

On associe généralement la copie illicite d'œuvres sur Internet à l'usage de réseaux « pair à pair », contre l'usage illicite desquels on a mis en place en France la fameuse HADOPI (dont je salue au passage le secrétaire général, s'il me lit). Cependant, ces dernières années s'est développé un autre procédé, bien plus direct : le « streaming » et sa variante le « téléchargement direct ». De quoi s'agit-il ?

Il existe divers sites Web dont la seule activité est de permettre aux internautes d'y déposer des fichiers qu'ils peuvent ensuite récupérer, ou donner à récupérer à d'autres internautes simplement en donnant un lien vers ceux-ci ; citons MegaUpload.com, Uploading.com, FileSonic.com, FileServe.com... Ces plates-formes ont des usages licites : un internaute qui a un gros volume de données à envoyer à des interlocuteurs (par exemple, des photographies de mariage ou de vacances à envoyer à la famille), ou à mettre à disposition du public, peut les utiliser pour héberger le contenu. Elles ont des usages illicites : on peut y mettre des copies de logiciels, musique, films etc. protégés par le droit d'auteur et/ou des droits voisins, et dont les ayant-droit n'agréent pas à pareille mise à disposition.

Selon le droit européen (article 15 de la directive 2000/31/CE) et le droit français (article 6 alinéa 7 de la Loi sur la confiance dans l'économie numérique), les opérateurs techniques de l'Internet et notamment les hébergeurs ne sont soumis à aucune obligation générale de surveillance et de recherche des contenus illicites. Le pourraient-ils seulement ? Si un internaute prend un logiciel et le met dans une archive à accès protégé par mot de passe, puis le met en ligne sous le nom photo_de_mariage_de_Fred, que pourrait bien faire l'hébergeur pour savoir que ce fichier est illicite ?

Bien entendu, ce qui vaut pour l'hébergeur vaut aussi pour les autres internautes : qui pourrait bien se douter que l'on peut trouver ce logiciel sous un nom pareil sur ce site ? Le manque à gagner pour les producteurs du contenu illicitement copié est limité, tant que la localisation du fichier à télécharger se transmet par bouche-à-oreille...

Pour pallier cette difficulté (difficulté du point de vue de ceux qui mettent ou visualisent en ligne du contenu illicite, cela s'entend), des sites d'annuaires de liens vers des téléchargements ou des streams d'œuvres licitement ou illicitement mises en lignes ont fleuri. Ces sites, financés par la publicité, affirment être dans la légalité car ils n'hébergent aucun contenu illicite : ils se contentent de dire où celui-ci se trouve sur la toile...

La réponse de certains représentants des ayant-droit : bloquer ou du moins rendre difficile l'accès à ces annuaires, ou du moins les plus connus d'entre eux. C'est pour demander cela que l'Association des producteurs de cinéma, la Fédération nationale des distributeurs de films, et le Syndicat de l'édition vidéo numérique assignent en référé divers prestataires techniques de l'Internet (les principaux fournisseurs d'accès à Internet et moteurs de recherche). L'assignation, gracieusement mise en ligne par PC Impact, fait une centaine de pages, résumons-donc en les points saillants.

Tout d'abord, pourquoi ce sont les prestataires techniques qui sont assignés, et non les sites d'annuaires. L'assignation relève que les gestionnaires de ces derniers se dissimulent derrière des procédures d'anonymisation et des prestataires situés dans des pays lointains. Ici, le lecteur ne pourra que reconnaître les procédés qui font le succès des armateurs de navires (pavillons de complaisance), de ceux qui veulent échapper aux impôts (dont, d'ailleurs, certaines vedettes de la chanson et du cinéma... qui veulent garder leur liberté de penser, sans doute) et de ceux qui veulent échapper à la justice (*) : toucher des recettes en Europe, mais se domicilier ailleurs et utiliser des représentants ou des sociétés-écrans. Devant la difficulté de poursuivre ceux qui gèrent réellement ces sites et en touchent les bénéfices, les ayant-droit ont renoncé. Il est par comparaison beaucoup plus simple d'atteindre des prestataires techniques tels que Free et Orange (basés en France) ou encore Google et Microsoft (moteur de recherche Bing), certes basés aux États-Unis mais ayant une présence en France.

Le but de l'assignation est de rendre, sinon impossible, du moins difficile pour les internautes de chercher des liens sur le site AlloStreaming et les sites associés. Pour cela, elle réclame des mesures de trois ordres :

  1. aux principaux moteurs de recherche : de ne plus référencer les pages de ces sites ;

  2. aux fournisseurs d'accès à Internet, de ne plus rendre les résultats de DNS pour ces sites (je vais expliquer ce concept) ;

  3. aux fournisseurs d'accès à Internet, de filtrer les adresses IP de ces sites (là encore, je vais expliquer ce concept).

Commençons par le plus simple. Un moteur de recherche tel que Google ou Bing présente aux internautes des résultats de recherche en fonction de la requête formulée, et peut très simplement ôter de ces résultats ceux qui pointent vers un site répertorié sur une liste noire. Google a d'ailleurs déjà supprimé AlloStreaming de ses résultats. Comme la plupart des internautes cherchent et trouvent leur information via ces moteurs, cela assurera une diminution du trafic des sites en question. Bien sûr, ces sites peuvent rouvrir sous un autre nom, non présent dans la liste noire ; mais il leur faudra du temps pour retrouver la célébrité sous ce nouveau nom, temps pendant lequel ils occasionneront moins de manque à gagner aux ayant-droit ; si leur nouveau nom devient lui-même bien connu, il sera alors temps de le rajouter sur la liste noire.

Une suggestion dangereuse

Passons maintenant aux autres points, plus techniques : d'abord le point 2.

Lorsque vous accédez au Web ou à tout autre service Internet, vous contactez des machines qui répondent à vos demandes. De la même façon que pour envoyer un courrier postal, il faut l'adresse du destinataire, les machines connectées à Internet ont une adresse, dite « adresse IP ». Celle-ci se présente habituellement sous la forme de quatre nombres séparés par des points, par exemple 198.51.100.25. On peut voir cette adresse comme une sorte de « numéro téléphonique » identifiant la machine destinataire, au niveau mondial (d'ailleurs, l'épuisement des adresses sous cette forme, dite IPv4, a amené à passer à un format plus long et comportant plus de nombres, dit IPv6, mais celui-ci n'est pas encore largement déployé ; c'est un peu comme le passage de la numérotation téléphonique à 8 chiffres à celle à 10 chiffres). De la même façon que les premiers chiffres du code postal ou du numéro téléphonique (du moins sur les lignes fixes France Télécom) identifient une zone géographique, les premiers numéros de l'adresse IP identifient un prestataire Internet (je simplifie).

L'usage de l'Internet serait assez malaisé s'il fallait que les utilisateurs se rappellent de ces adresses : aussi préfère-t-on taper Google.com à taper 74.125.39.147. Pour passer de façon transparente de l'un à l'autre, il faut un service d'annuaire automatique : celui-ci s'appelle le DNS (Domain name system). Sans que vous vous en rendiez compte, votre ordinateur fait des requêtes DNS à chaque fois que vous utilisez un nom tel que Google.com, Free.fr, Ebay.fr, www.CNRS.fr, www-verimag.imag.fr.

Un service comme le DNS s'écroulerait s'il était totalement centralisé. Aussi, les prestataires de service Internet, ou les organismes disposant d'importants réseaux informatiques, disposent-ils de « caches » de DNS qui mémorisent les réponses au cas où elles resserviraient prochainement. Ainsi, quand vous allez sur voyages-sncf.com, votre ordinateur demande à votre prestataire Internet à quelle adresse IP ce site correspond, et votre prestataire répond immédiatement car d'autres personnes avant vous ont récemment accédé à ce site, et la réponse est encore dans la « mémoire cache » du prestataire. Ceci permet d'éviter l'engorgement.

L'assignation demande donc aux principaux prestataires d'accès Internet français de fausser les réponses aux requêtes DNS concernant les sites visés. Au lieu de répondre que www.allostreaming.com est à l'adresse 95.211.83.40, par exemple, le service DNS de votre prestataire mentira et répondra que ce site n'existe pas (voire renverra vers un autre site).

Toutefois, la plupart des prestataires Internet ne vous obligent pas à passer par leurs serveurs de DNS : c'est simplement le réglage par défaut. Il est possible de gérer le DNS entièrement en interne, ou de passer par des serveurs publics alternatifs de DNS (Google DNS, OpenDNS, etc.). Bien sûr, on peut vouloir faire cela afin de contourner les éventuels filtrages imposés pour lutter contre le « piratage », mais il y a bien d'autres raisons :

  1. Les serveurs DNS de certains prestataires Internet souffrent de dysfonctionnements à répétition. Il m'est assez fréquemment arrivé, lors d'usages de bornes WiFi ou lorsque j'étais chez mon prestataire précédent, de passer sur une résolution DNS interne afin de pouvoir continuer à accéder à Internet avec un confort de navigation raisonnable. Cette possibilité de pouvoir contourner un service en panne ou au fonctionnement défectueux est une des bases du bon fonctionnement d'Internet et une raison de son succès, par comparaison à des services centralisés (il suffit de constater l'impact des pannes des services centralisés de messagerie BlackBerry).

  2. Certains prestataires Internet imposent aux usagers de leurs services DNS une fonctionnalité douteuse : au lieu de renvoyer un message « ce site n'existe pas » en réponse à une demande pour un site qu'ils n'existent pas, ils mentent et renvoient sur une page de publicité.

  3. On a récemment mis en place un système de sécurisation des informations DNS, permettant notamment de lutter contre les fraudes et escroqueries (phishing etc.). Les informations nécessaires au bon fonctionnement de ce système, appelé DNSSEC, sont supprimées par certains prestataires, sans doute parce qu'ils ont paramétré leurs systèmes avant le déploiement de DNSSEC et n'ont pas pris la peine de mettre à jour leur configuration. Il est donc nécessaire, dans ce cas, d'utiliser une résolution DNS alternative. Il ne s'agit pas là de pratiques ésotériques ou demandant de profondes connaissances en informatique : par exemple, le logiciel DNSSEC-trigger s'installe très simplement sur Windows, Mac ou Linux, et ensuite, de façon transparente pour l'utilisateur, contourne le système DNS du fournisseur d'accès Internet si celui-ci gêne l'utilisation de la sécurisation DNSSEC.

Aussi doit-on s'alarmer de la suggestion, figurant page 78 (page 70 du PDF) de l'assignation, d'une

« […] interdiction de l'usage par les abonnés d'un service (empêchant les utilisateurs de changer les adresses IP DNS fournies dans le cadre de l'abonnement souscrit auprès du [fournisseur d'accès Internet] pour leur substituer par exemple des services tels que OpenDNS, Google DNS etc...) »

Il s'agirait donc bien de forcer tous les internautes à n'utiliser que les services DNS de leur fournisseur d'accès, et de leur interdire l'accès aux services alternatifs, au motif de faciliter le filtrage. Je trouve pareille suggestion choquante, car il existe des raisons tout à fait respectables (par exemple celles citées ci-dessus) pour lesquelles un internaute peut vouloir utiliser un système DNS alternatif. Les internautes qui ne téléchargent pas de contenus illicites n'ont pas à souffrir d'effets secondaires de litiges qui ne les concernent nullement.

Les difficultés techniques du blocage

Passons maintenant au troisième point.

L'assignation admet que les services visés pourraient changer d'adresse plus vite que les procédures judiciaires ne permettraient de désigner de nouvelles adresses à bloquer. De plus, les adresses libérées par la migration des sites vers des adresses non bloquées, pourraient être allouées à d'autres sites (rappelons qu'il y a pénurie d'adresses IPv4 libres), de sorte que des sites innocents pourraient être bloqués.

Elle réclame donc que des prestataires techniques privés soient autorisés à fournir en temps réel aux fournisseurs d'accès Internet une liste noire de sites à bloquer, désignés par leur adresse IP, et que ceux-ci aient obligation de la mettre en œuvre.

Une difficulté du blocage par adresse IP, il me semble non soulevée dans l'assignation, est que plusieurs sites sans rapport les uns avec les autres peuvent être hébergés à la même adresse (rappelons là encore qu'il y a pénurie). Pour prendre un exemple concret, déjà soulevé par Reflets.info, le site werebuild.eu, désigné page 84 de l'assignation (page 76 du PDF) comme hébergeant des listes de « copies miroir » de sites illicites, héberge également des informations de coordination destinées à ceux qui en Syrie ou dans d'autres dictatures luttent contre le pouvoir en place. Notons également une association d'idées assez dérangeante : dans le même paragraphe, un site est désigné comme « lié aux mouvances libertaires et anarchistes », comme si cela devait constituer une présomption d'illégalité ou désigner préférentiellement au blocage.

Le blocage par adresse IP est donc une arme difficile à manier, avec des risques de surblocages collatéraux. Quelles sont les alternatives ?

  1. Le « filtrage hybride », en résumé, intercepte partiellement les communications afin de permettre un filtrage plus fin au sein d'un site, de ne bloquer que certaines pages et non d'autres. Sa mise en œuvre est difficile ; j'ai déjà parlé ici d'un fiasco causé par un filtrage abusif exercé par l'autorité privée britannique de l'Internet.

  2. Le « deep packet inspection » est également intrusif. Notons que nous avons en France des experts de cette technologie : d'après différents média, une société française filiale d'un groupe bien connu aurait vendu au régime libyen des dispositifs la mettant en œuvre, que ce régime aurait utilisé pour espionner ses dissidents. Pareil antécédent devrait nous inciter à la prudence : si, pour agréer aux demandes catégorielles des ayant-droit, on mettait en place pareil système en France, il serait extrêmement tentant de l'utiliser pour d'autres fins. Rappelons qu'en France, des magistrats et des policiers sont actuellement accusés d'avoir indûment demandé des listings détaillés de factures téléphoniques (les fameuses « fadettes »), et ce pour des raisons de commodité politique.

La course à l'armement

Imaginons que les ayant-droit parviennent à faire bloquer les sites d'annuaire de contenus illicites au niveau des moteurs de l'adresse IP et des DNS. Ces sites pourraient fort bien réémerger par exemple comme services sur le réseau TOR. Ce réseau est justement conçu pour que l'on ne puisse pas facilement exercer d'espionnage ou de censure pour les communications ; il est utilisé par des dissidents politiques dans divers pays autoritaires mais dotés d'accès à Internet.

La tentation sera alors éventuellement de réclamer l'interdiction de TOR. Le problème, c'est que sur TOR, on ne peut pas couper l'accès au contenu « légitimement illicite » (le contenu illicite au vu du droit français) sans couper l'accès au contenu « illégitimement illicite » (celui pourchassé par les régimes autoritaires). Il faut bloquer TOR dans son ensemble.

Gageons qu'alors on trouvera un moyen de faire passer TOR dans des communications VPN ou SSH, utilisées notamment pour le télétravail (accès sécurisé aux réseaux d'entreprise depuis des lieux qui ne le sont pas forcément : WiFi public, etc.). Les ayant-droit demanderont-ils alors l'interdiction des VPN ou de SSH ?

On le voit, nous sommes engagés dans une course à l'armement, contre laquelle j'avais mis en garde déjà en 2006. Il va falloir être vigilant, afin que les bisbilles entre ayant-droit et sites de téléchargement illicites, auxquelles une grande part des internautes sont étrangères, n'aient pas d'effets collatéraux négatifs, que ce soit sur la fiabilité du réseau, sur les libertés individuelles ou sur la liberté d'expression, notamment dans les régimes autoritaires.

(*) Je ne résiste pas à rappeler qu'une des principales organisations d'ayant-droit français, la Société des auteurs-compositeurs dramatiques (SACD), héberge fièrement sur son site une pétition en faveur de Roman Polanski, prétendant à l'« extraterritorialité » des festivals internationaux de cinéma par rapport au droit pénal. Par ailleurs, le directeur général de la SACD, Pascal Rogard, a approuvé ce matin sur Twitter l'assignation sujet de ce billet :

« Qui peut raisonnablement défendre les mafias du streaming illicite On verra si la loi en vigueur est adaptée à cette forme de criminalité. »

Il semble donc que M. Rogard considère que les sites de téléchargement qui se jouent des frontières pour échapper à la justice dans une affaire de manque à gagner pour l'industrie cinématographique, c'est mal, mais que la société qu'il dirige considère qu'en revanche c'est une excellente chose qu'un réalisateur connu fasse de même dans une affaire de viol de mineure de moins de quinze ans.

PS : L'assignation relève, comme preuve de compétence en matière de réseaux d'un consultant technique, que celui-ci est polytechnicien. Avec tout le respect que je dois à mes étudiants passés, présents et futurs, je peux attester qu'être polytechnicien n'implique pas la compétence en informatique. Ceci n'est pas un commentaire à l'encontre du consultant en question, que je n'ai pas l'honneur de connaître, juste un constat.

mardi, décembre 6 2011

Chassons le pédophilie en Libye

Cela fait plusieurs années que j'exprime mes craintes que la « chasse au pédophile sur Internet » ne serve souvent de cache-sexe à des activités bien moins glorieuses et consensuelles. J'apprends maintenant que la société Amesys, qui avait vendu des systèmes d'interception de communications à la Libye du dictateur mégalomane et soutien du terrorisme Muhammar Kadhafi, affirme avoir vendu un système pour lutter contre les pédophiles et non contre les opposants politiques.

jeudi, novembre 17 2011

Vidéos en flash

Un nombre impressionnant de sites, y compris publics, imposent à celui qui voudrait visionner des vidéos ou écouter de l'audio l'usage de « lecteurs » intégrés dans les pages Web, souvent mis en œuvre par la technologie Flash.

Je trouve cela très désagréable :

  1. Ces lecteurs ont une fâcheuse tendance à ne fonctionner que sur certains navigateurs sur certains types de machines ; typiquement, ils fonctionnent avec Internet Explorer sur Windows 32 bits, mais pas sous Linux, ou pas sous Linux 64 bits, ou pas sur certaines tablettes.
  2. Ils imposent l'installation d'outils connus pour leur grand nombre de trous de sécurité. Je vois sans cesse des avertissements de bugs sur Flash, imposant une mise à jour d'urgence. Notons que de nombreux utilisateurs en milieu d'entreprise ou scolaire n'ont pas le droit d'installer des logiciels sur leur machine.
  3. Ils rendent difficile le téléchargement pour utilisation hors ligne. Personnellement, j'aime pouvoir récupérer un lien vidéo ou audio pour pouvoir l'écouter dans le train, par exemple.

Qu'est-ce qui rend si difficile l'inclusion, éventuellement en supplément du « lecteur » intégré, d'un lien vers un fichier dans un format standard (MP4 ou autre) ?

dimanche, octobre 30 2011

Web de sécurité douteuse

On savait depuis longtemps que le système d'autorités de signature pour les transmissions chiffrées sur Internet (SSL) avait de gros points faibles, permettant notamment des attaques par des pirates décidés, éventuellement affiliés à des états tels que l'Iran.

L'EFF rappelle le problème et propose de lancer un programme de recherche pour le pallier.

dimanche, octobre 23 2011

IPv6

Quels bénéfices concrets aurais-je à activer IPv6 sur laa connexion Internet de mon domicile ? Quels inconvénients ?

jeudi, octobre 13 2011

Paul Vixie écrit au Congrès américain

Paul Vixie et d'autres spécialistes distingués du fonctionnement de l'Internet écrivent au Congrès américain pour lui demander de ne pas introduire de filtrage obligatoire au niveau du DNS. Selon eux, cette mesure non seulement serait inefficace, car aisément contournable par les utilisateurs intéressés, mais créerait des opportunités pour la fraude, notamment en empêchant le déploiement du DNS sécurisé.

Sans surprise, le dit filtrage est réclamé par les lobbys du divertissement, tels la MPAA, qui disent qu'il ne gênera en rien le déploiement du DNS sécurisé. Ceci n'est pas sans rappeler les débats en France, où des organisations diverses (associations familiales, sociétés de perception et de répartition des droits, etc.) réclament la mise en place de mesures dont elles ne mesurent pas la portée réelle, ou dont elles l'ignorent sciemment.

mercredi, octobre 12 2011

Cyberdjihadistes

Le Figaro, malgré le titre suggérant la nouveauté (''Internet, nouveau cauchemar des vigies antiterroristes''), nous propose un énième ressassement de cette scie de la presse française depuis environ 15 ans, à savoir les méchants sur Internet (pédophiles, néo-nazis, et terroristes islamistes).

Commentons un peu plus :

Des flics des Renseignements généraux faisant la planque, sous la pluie, en attendant la sortie de la mosquée… Longtemps, le boulot des policiers des RG affectés à la traque des terroristes, en France, a collé à cette image d'Épinal. Mais comme le lieutenant Columbo, son vieil imperméable beige et sa Peugeot 403 Cabriolet, elle appartient désormais au passé. Rendue totalement ringarde par l'apparition d'Internet.

C'est sür que si la police se contentait de « planquer » en envoyant devant une mosquée principalement utilisée par des maghrébins ou des turcs des européens en imperméable, elle devait être d'une grande efficacité... Passons également sur la restriction du terrorisme aux seuls musulmans, quelque peu curieuse après le massacre norvégien, lui-même précédé par le carnage d'Oklahoma City.

Continuons :

Il a remarqué le professionnalisme des sites, qui utilisent des modérateurs pour veiller à l'orthodoxie de la ligne idéologique et maîtrisent parfaitement les logiciels de cryptage.

On dit « chiffrement » et non « cryptage ». Il n'y a pas de mystère à l'utilisation du chiffrement en ligne : le moindre site commercial en utilise pour gérer les commandes et les paiements, sans parler des gens qui, comme moi, accèdent aux ressources de leur employeur par un réseau privé chiffré (VPN) ou une connexion ssh. Il n'y a donc rien d'extraordinaire à ce que des terroristes utilisent ces fonctionnalités fortement déployées dans la population ; le contraire serait un signe de stupidité et d'amateurisme de leur part. Je suppose que dans ce genre d'activités, les amateurs désorganisés et visibles ne font pas de vieux os.

Finissons :

Le cauchemar des spécialistes de l'antiterrorisme serait l'avènement d'un cyberterrorisme islamiste. Que des djihadistes réussissent, à partir d'Internet, à provoquer une panne dans la tour de contrôle d'un grand aéroport européen ou à couper l'électricité d'un hôpital, par exemple.

Ce propos illustre le danger qu'il y a à connecter des infrastructures essentielles à la sécurité à Internet. Nous avions déjà eu l'exemple de systèmes de centrales nucléaires connectés à Internet pour des raisons de télémaintenance... La solution est simple : totalement découpler le réseau destiné aux activités critiques du réseau destiné, par exemple, à la bureautique. C'est ce qui est fait dans certaines entreprises de haute technologie : il y a les postes informatiques Windows utilisés pour la bureautique, le courrier électronique etc., et les postes informatiques, souvent sous d'autres systèmes tels que Linux, utilisés pour le cœur de métier, les deux ne pouvant pas communiquer directement. Autres parties de la solution : refuser les logiciels trop complexes et mal maîtrisés ; utiliser des systèmes d'exploitation configurés pour faire fonctionner les services voulus, sans autres fonctionnalités (par exemple support de la bureautique, des jeux etc.) ; utiliser des techniques d'analyse statique, de fuzzing etc. pour trouver les bugs avant que les méchants ne les trouvent (et je ne dis pas cela parce que j'ai un produit à vendre).

lundi, septembre 19 2011

Free, encore une entreprise qui se fiche du monde

Je suis abonné chez Free. Enfin, plus précisément, je paye l'abonnement mais mon accès Internet ne fonctionne pas car, voyez-vous, ma Freebox me fait une « erreur 80 », autrement dit la Freebox n'est pas celle qui devrait être connectée sur ma ligne — son adresse ne colle pas avec la base de données de Free.

Vous pourriez penser que ce problème pourrait être rapidement résolu en allant sur le site de l'assistance de Free, par exemple en envoyant un courrier électronique contenant toutes les informations nécessaires. Hélas, ce n'est pas le cas. Ce site d'assistance m'envoie sur une « assistante virtuelle », qui n'est jamais qu'un programme qui essaye de comprendre ma question au vu de mots-clés de ma phrase. Cet assistant me renvoie sur l'assistance soit par téléphone, soit par « tchat », soit par email. Les deux dernières possibilités sont inactives et renvoient en fait sur l'assistant. Sinon, on me propose des animations censées m'expliquer comment brancher ma Freebox (genre brancher la fiche électrique dans le 220V).

Je suis donc censé téléphoner. D'une part, c'est inconvenant : l'appel m'est facturé, pour un problème du fait de Free. D'autre part, c'est difficile : le téléphone fonctionne via la Freebox, donc si celle-ci ne fonctionne pas, le téléphone non plus. Je pourrais appeler depuis mon téléphone portable, mais cela risque de me coûter cher (et je ne vois pas pourquoi je supporterais des coûts en raison de Free). Qui plus est, on me dit que le centre d'appel de Free, comme ceux de la plupart des entreprises grand public en informatique ou télématique, est essentiellement peuplé d'incompétents sous-payés et délocalisés : je n'ai aucune envie de parlementer des heures (tarifées) avec un clown qui va me demander si j'ai bien branché mon appareil dans la prise de courant (il y a quelques années, Free m'avait fait le coup de me faire tout déplacer et rebrancher mon installation avant de finir par m'avouer qu'ils faisaient des travaux dans mon secteur...).

Ah, mais, me dit un collègue de l'INRIA, je n'y suis pas : pour joindre les techniciens de Free (les vrais, pas les clowns qui se contentent de lire une liste d'actions à accomplir), il faut se rendre sur les forums de l'ADUF ou sur des groupes NNTP. La difficulté à configurer pareils accès serait un filtre anti-néophytes, permettant aux vrais techniciens de se concentrer sur les vrais problèmes.

Il est vrai qu'il y a des gens qui disent « ne pas s'y connaître en informatique » alors que leur problème est bien plus général : témoin cette personne dont le problème consistait à ne pas comprendre qu'une fiche électrique ne peut être reliée à une prise téléphonique (les enfants de 5 ans comprennent pourtant fort bien qu'on rentre un objet dans le trou de la bonne forme...). Certains jouent à l'incompétent afin de ne pas faire l'effort de devoir un minimum comprendre ce qui se passe, confiants qu'ils trouveront un gentil geek pour réparer leur matériel.

Toutefois, ceci ne justifie pas de délibérément mettre des obstacles entre le client de bonne foi et l'assistance à laquelle il a droit. Free se fiche du monde.

PS Mon message sur les forums a eu pour réponse : « vous êtes en inversion de câblage avec la position voisine de la votre sur le DSLAM ... patience ». Donc, Free, France Telecom ou je ne sais qui a interverti le câblage entre ma ligne et le voisin. On aurait pu attendre qu'ils s'en aperçoivent d'eux-mêmes (« tiens, c'est marrant, la FreeBox de M. Duschmoll essaye de se connecter sur la mauvaise ligne »)...

Je n'ose penser au calvaire de l'utilisateur de base qui n'aurait pas des connaissances en système d'exploitation et réseau !

jeudi, septembre 15 2011

Sites sécurisés, chiffrement, etc.

À lire absolument par ceux qui ne comprennent rien aux « sites sécurisés ».

lundi, août 29 2011

Iran et SSL

Cela fait des années que l'on sait que l'« infrastructure de clefs publiques » utilisée pour les « sites sécurisés » (transmissions chiffrées) a un énorme point faible : les autorités qui délivrent les « certificats » ne vérifient pas proprement à qui elles délivrent un certificat au nom de qui.

En mars 2011, des iraniens obtiennent des certificats au nom de Google, GMail etc. (voir aussi ici). Rebelote en août. Il me semble qu'il y a quelques années, quelqu'un avait pu se faire remettre des certificats SSL au nom de Microsoft !

On ne peut que se demander comment une autorité de signature ne tique pas quand on lui demande de signer un certificat au nom de Microsoft ou Google... ou, en cas de piratage, ne détecte pas pareils certificats..

mardi, juin 14 2011

La France profonde, terra incognita chez OpenStreetMap

On s'est parfois gaussé de la couverture inégale de Wikipédia, détaillant à l'excès la vie occidentale et se contentant des grandes lignes pour une bonne partie du monde. Il semble qu'OpenStreetMap souffre quelque peu des mêmes défauts...

Tandis que Grenoble et ses alentours sont cartographiés en détail, il y a de gros trous dans des villes comme Roanne ou Guéret, et Montceau-les-Mines se réduit à quelques avenues.

Quelles explications ?

vendredi, juin 10 2011

Le WiFi, cela partait d'un bon sentiment

Je suis actuellement à l'EPFL en train notamment de traiter des problèmes demandant accès à Internet, une partie des données utilisées étant à mon laboratoire ou sur d'autres sites. Malheureusement, la connexion WiFi est instable.

Le WiFi, cela partait d'un bon sentiment : pouvoir se connecter sans fil, ce qui évite l'installation d'infrastructures envahissantes. Hélas, en pratique, cela n'est pas si simple.

Les installateurs d'accès WiFi semblent obsédés par l'idée que des malandrins pourraient utiliser leur beau réseau.

Au mieux, ils installent un système qui demande, au début de la connexion, de cliquer dans une boîte de dialogue pour s'engager à ne pas pirater (ce qui est à peu près aussi stupide en termes légaux qu'un restaurateur ou un hôtelier demandant à ses clients de cocher une case s'engageant à payer leur repas ou leur nuitée) — problème, ce système intercepte les connexions et peut provoquer différents problèmes techniques.

Certains croient intelligents de bloquer toutes les connexions sortantes à part les connexions Web, s'imaginant sans doute empêcher le « piratage » et les réseaux pair-à-pair. Cela bloque notamment les connexions ssh dont je me sers pour le travail. En revanche, cela ne bloque pas forcément le pair-à-pair... (contournement : avoir un sshd qui tourne sur le port 443)

D'autres mettent en place un système d'authentification par login et mot de passe. La plupart de ces systèmes interceptent les connexions au début, avec les problèmes déjà cités plus haut, sans parler du fait que certains oublient périodiquement que la connexion est en cours, donc redemandent le login et le mot de passe. D'autres utilisent les modes d'authentification WPA du WiFi : ceux-ci sont très pénibles à configurer (terminologie non uniforme entre les fabricants, certains paramètres ou types de configuration portant des noms différents entre Windows, Linux, le fabricant de la borne etc.), et.. certains équipements ne supportent que certains modes. Par exemple, le système Eduroam, destiné au monde de la recherche et de l'enseignement supérieur, utilise un mode d'authentification WPA non supporté par les téléphones Blackberry.

Au final, plus c'est compliqué, plus ça a de chances de ne pas fonctionner, ou de couper aléatoirement les connexions, comme le WiFi que j'utilise actuellement à l'EPFL.

jeudi, juin 9 2011

Faut-il faire confiance aux autorités de signatures ?

Je ne sais pas s'il faut en rire ou en pleurer : une autorité produisant des certificats SSL reconnus par tous les grands navigateurs laisse fuir la clef privée de son site Web.

Même s'il ne s'agit que de la clef du site et non celle de signature des certificats, cela dénote un certain manque de sérieux !

lundi, avril 18 2011

L'Internet civilisé

On parle beaucoup de « civiliser » l'Internet, qui serait une zone de non-droit, une sorte de Far West.

Petite remarque d'ordre historique : quand par le passé on s'est proposé de « civiliser », s'il le faut par la force, des populations

  1. Cela démontrait une condescendance inouïe, puisqu'on niait la qualité de civilisées aux populations concernées, qui parfois provenaient de civilisation fort riches culturellement.
  2. Cela s'est traduit par divers abus.
  3. Cette apparente bonne volonté civilisatrice, par ailleurs fort condescendante, masquait souvent des intérêts financiers et politiques.

Personnellement, j'aurais choisi un autre vocabulaire. Lapsus révélateur ?

Signatures électroniques, sécurité, archives et droit

Suite à une question d'Eolas, j'ai lancé ici une discussion sur les signatures électroniques et les archives de fichiers. Celle-ci a vite dérivé sur des considérations techniques au sujet de l'usage de schémas de signature et de hachage faibles, dont la conclusion est qu'on peut facilement truquer des signatures de PDF comme de ZIP pour ce type de schémas et qu'il ne faut donc pas se servir de MD5 pour vérifier l'authenticité de tels fichiers face à des individus malveillants. Moralité : utilisez des schémas robustes !

Une chose m'embarrasse au sujet des discussions sur la sécurité cryptographique : il me semble que celle-ci est le maillon fort d'une chaîne qui comprend de nombreux maillons faibles. Prenons les attaques des ordinateurs du Ministère des Finances récemment annoncées dans les médias : il paraît qu'il s'agissait d'un fichier PDF envoyé depuis une adresse email maquillée, exploitant des trous de sécurité dans Acrobat Reader (application qui, avec Flash, est visiblement la cible privilégiée des attaques depuis que Microsoft a resserré les boulons sur Office et Windows). Nul problème cryptographique, juste des bons vieux trous type buffer overflows dans une application de visualisation de fichier. Bref, la signature électronique est fiable autant que l'est l'ordinateur où tourne l'application de signature... (l'espoir viendrait-il des cartes à puce ?).

Une petite anecdote : je me rappelle d'un cadre d'une grande société d'assurance qui installait sur son ordinateur de fonction divers gadgets, dont un « économiseur d'écran » faisant défiler les publicités d'une célèbre marque de lingerie... Il semble difficile de faire comprendre aux gens que les virus et les chevaux de Troie ne viennent pas avec une petite icône tête de mort, mais justement arrivent via des contenus désirables ! Et après on se demande comment il se fait qu'il existe au travers d'Internet des millions de machines esclaves de « hackers », les fameux « botnets » !

Un autre procédé d'attaque est l'ingéniérie sociale, terme fleuri pour dire « au culot ». Par exemple, dans un bâtiment en travaux, il est rare que l'on vérifie l'identité ou que l'on refuse l'accès à celui qui se présente en vêtements de chantier au nom d'un des nombreux sous-traitants. Plus généralement, si vous rentrez quelque part en ayant l'air de la personne active qui sait où elle va, on vous questionne rarement (à l'inverse, si vous semblez chercher votre chemin ou que vous allez vers l'accueil, c'est là que l'on vous demandera une pièce d'identité et la raison de votre visite). Il semble que cela soit pareil via le courrier électronique ou le téléphone.

Vu comment certaines entreprises ou certains services administratifs semblent gérer leurs dossiers, égarant les fichiers ou envoyant des données par erreur à des gens qui ne devraient pas les recevoir, je frémis à la pensée de comment ils géreraient leurs clefs de chiffrement et leurs mots de passe... Vous allez me dire, il y a bien des administrations où les secrétaires imitent la signature des responsables quand ceux-ci devraient signer des documents de toute urgence, mais sont indisponibles !

Signature électroniques, archives et droit

Le tribunal administratif de Toulouse a rejeté un référé contre le CNRS, dans une affaire de marchés publics, au motif que le CNRS a pu valablement rejeter la soumission électronique de cette société car celle-ci avait signé électroniquement l'ensemble de l'archive Zip soumise et non chacun des fichiers individuellement.

De mon point de vue, pour des applications nécessitant une sécurité modérée (p.ex. pas des secrets militaires à conserver 50 ans), il n'y a pas de différence sensible de fiabilité entre signer avec un moyen de signature cryptographiquement sûr une collection de documents et signer chacun de ces documents. La seule différence technique appréciable est qu'en cas de signature d'une archive, il est impossible de vérifier individuellement l'authenticité de chaque fichier : il faut disposer de l'archive entière. Ceci peut être gênant dans certains contextes d'utilisation (p.ex. si pour des raisons de confidentialité, certains des documents ne doivent pas être adressés à certains services qui doivent pourtant vérifier l'authenticité de ceux qui les concernent).

Cette décision suscite une question amusante : celle des fichiers OpenDocument (les fameux .odt, .ods, etc. manipulés par OpenOffice ou LibreOffice, format normalisé par norme ISO). Ceux-ci sont des archives Zip (plus exactement, Jar) stockant dans des fichiers différents le texte du document, les styles, les images et autres objets inclus. Faut-il signer séparément chacun des fichiers ? :-)

PS Je ne vais pas blâmer les juristes : ils doivent débrouiller par rapport à la vie réelle un maquis de lois et réglements adoptés à d'autres époques, parfois pour répondre à des problèmes d'actualité, et sans grand souci de cohérence. Quand on voit ce que l'on fait avec les normes en informatique, et nos architectures matérielles et logicielles qui sont en grande partie conçues pour émuler les machines d'il y a 20, 30 voire 40 ans...

mardi, février 22 2011

Vulgarisation scientifique et formats ouverts

Je voulais regarder une vidéo d'une conférence de Baudouin Jurdant sur le site de l'ENS de Lyon. J'ai eu beaucoup de mal !

Lire la suite...

vendredi, février 18 2011

Astroturf on the social networks

En anglais, l'astroturfing désigne la création d'un mouvement de masse fictif. Il s'agit d'un jeu de mots sur grassroots (« racines d'herbes », ce qui part d'un mouvement populaire), astroturf désignant le faux gazon utilisé pour certains terrains de sport. La pratique n'est pas nouvelle : il y avait jadis la « claque » dans les théâtres, des spectateurs payés pour applaudir ; pratique d'ailleurs non révolue dans les meetings politiques, me dit-on...

Il semble qu'à l'ère des réseaux sociaux, l'astroturfing passe à l'échelle industrielle. Plus besoin de mobiliser des foules, on peut simuler de multiples personnalité depuis son ordinateur, chez soi. Évidemment, cela nécessite une certaine infrastructure si on ne veut pas être détecté par son adresse IP (chaque ordinateur connecté à Internet a une telle adresse, et si des utilisateurs soi-disant différents semblent tous utiliser la même, il y aura des soupçons). Nous apprenons que la société HBGary, consultante en sécurité informatique, devait fournir un système permettant la création de personnalités virtuelles crédibles... à l'US Air Force (il semble également que la même société devait également fournir à la Chambre américaine de commerce des moyens de décrédibiliser des bloggueurs de gauche... charmant !).

Quand je disais que si la CIA voulait vraiment manipuler Wikipédia, ils ne seraient pas niais au point de le faire depuis leur réseau officiel, de façon à être pris par le Wikiscanner !

- page 2 de 3 -