Journal Le bourreau était le coupable...

Posté par (page perso) .
Tags : aucun
8
28
mar.
2009
Un bug de plus dans l'HADOEPI...

Notre gentil gouvernement nous demande de faire ce que lui même n'est pas capable de faire : sécuriser nos réseau WiFi de manière parfaite. Mais bon, ce n'est pas la première que l'on nous demande l'impossible...,

Mais il y a quand même un problème : que faire s'il m'était impossible de le sécuriser. Les belles *box fournies gentillement par nos chers opérateurs ne sont pas à nous et nous n'avons pas le droit de les modifier, ce n'est qu'une extension de leur réseau. C'est d'ailleurs la dessus que s'appuie Free pour ne pas donner les sources des logiciels GPL qu'ils utilisent dedans.

Maintenant, imaginons qu'un bug se glisse dans une de ces box et qu'un gentil pirate en profite pour s'introduire dedans et faire des choses illégales. Que se passe-t-il ?

Je vais être accuser de piratage et mon fournisseur me coupera l'accès à Internet alors que l'erreur viens de lui...

Et ne me dites pas qu'un bug dans une de ces box est impossible, il suffit de voir ce genre de choses http://linuxfr.org/~nicOnicO/28039.html pour voir que ce n'est pas de l fiction.
  • # securité

    Posté par . Évalué à 5.

    et pourtant les boîtiers de free sont sans doute plus sécurisés que les autres sur le marché vu qu'ils maîtrisent eux-même la production et qu'ils sont plutôt pointus au niveau technologique.

    Cf:
    http://www.felix-aime.fr/portfolio.php?crea=csrf-box

    bien entendu cela ne remet pas du tout en cause ton hypothèse, et effectivement il est toujours possible de pirater le boîtier.

    Et si finalement, ils s'en moquaient que du contenu "intellectuellement protégé" transite sur les boîtiers d'une manière ou d'une autre ? Le but d'hadopi n'est-il pas avant-tout de poser un mouchard sur l'ordinateur de chaque citoyen ?

    Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

    • [^] # Re: securité

      Posté par . Évalué à 9.

      j'ai une neufbox v3 qui ne gere que le WEP.
      j'ai du desactiver le wifi
    • [^] # Re: securité

      Posté par . Évalué à -1.

      vu qu'ils maîtrisent eux-même la production

      Vu le nombre de coupures intempestives, on n'a pas l'impression qu'ils aient intégré le concept de « production »...

      Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

      • [^] # Re: securité

        Posté par . Évalué à 2.

        ... peut-être aussi que c'est "l'opérateur historique" qui s'amuse avec les lignes des concurrents lors des relais...

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: securité

          Posté par . Évalué à 1.

          ça fait bien longtemps que personne n'a parlé de gremlins pour défendre free...

          [en fait ce serait plus simplement une banale conspiration des puissances affidées de l'ordre renaissant de la propagation plutonienne pour l'égalitarisme aryen relatif]
    • [^] # Re: securité

      Posté par . Évalué à 3.

      Mouais,
      free au top de la securité je sais pas, au moins les autres ils ont déjà entendu parler de SSL. Ce qui a l'air d'être une technologie complètement inconnue chez free.
      • [^] # Re: securité

        Posté par . Évalué à 4.

        pendant un (long) moment, les "autres" ne proposait que wep quand free proposait déjà le wpa.

        Si on veut chercher des poux pour l'un, ou l'autre des FAI grand public, on en trouvera. Ils sont aussi mauvais les uns que les autres.
        • [^] # Re: securité

          Posté par . Évalué à 2.

          Si on veut chercher des poux pour l'un, ou l'autre des FAI grand public, on en trouvera. Ils sont aussi mauvais les uns que les autres.

          Meme sur un excellent FAI tu peux toujours lui demander les logs pour vérifier si tous les points entre ta maison et son serveur de log sont sécurisés convenablement. Ben oui qu'est ce qui prouve que c'est pas un petit malin qui a hacké un routeur/le dslam/un serveur chez le FAI ? (Eventuellement le petit malin peut bosser pour le FAI hein).
          Hors je ne connais aucun FAI (et même très peu de boites) qui loguent port par port, connexion par connexion tous les échanges sur l'ensemble de leurs équipement (je ne suis même pas sur que ce soit physiquement possible). Donc quoi qu'il arrive il y aura un doute sur la correlation entre l'adresse IP et la personne qui est supposée s'en servir.
          Ce doute ne peut être levé que par une enquète judiciaire....
  • # alors...

    Posté par . Évalué à 9.

    - il y a le mouchard filtrant qui garantira que ton ordinateur n'a rien téléchargé d'illégal :-)
    - tu peux présenter ton disque dur pour prouver ta bonne foi :-)))
    • [^] # Re: alors...

      Posté par . Évalué à 2.

      - tu peux présenter ton disque dur pour prouver ta bonne foi :-)))

      D'ailleurs ce truc là aussi est ridicule...est-ce que l'organisme chargé de le controler est en mesure de faire un vrai contrôle approfondi ??
      S'il regardent simplement si les fichiers sont présent sur le disque, il suffit de les effacer, voire de récrire plusieurs foi qq chose dessus.
      Où sont-ils capables de remonter la piste ? (rémanence magnétique ou quelque chose dans le style ?)
      • [^] # Re: alors...

        Posté par . Évalué à 2.

        Ce qui est dommage aussi, c'est qu'il est possible d'utiliser un ordinateur sans disque dur (uniquement à partir d'un live cd ou d'une clé USB). Même si c'est pas un des usages les plus fréquents, ça reste possible.
        Et rien qu'à partir de là, on sent que la fausse bonne idée "présentez nous votre disque dur" ne tiens plus très bien la route.

        Et admettons que le présumé coupable présente un disque dur vierge ou sans aucune trace de fichiers douteux ? l'HADOPI le laissera rentrer chez lui lavé de tout soupçon ou fera-t-elle preuve de mauvaise fois en l'accusant de ne pas avoir présenté le bon disque? ...
        • [^] # Re: alors...

          Posté par . Évalué à 8.

          "Présentez nous votre LiveCD, vous y avez peut-être téléchargé des fichiers illégaux"

          --------> []
      • [^] # Le disuqe dur comme "preuve" de ta bonne volonté

        Posté par . Évalué à 2.

        Ba d'après ce que j'ai eu l'occasion de lire (mais ça a peut être changé depuis), le disque dur n'est pas là pour prouver que tu as téléchargé (ou pas), mais pour vérifier si tu as bien installé le logiciel mouchard.
  • # Responsable

    Posté par . Évalué à 6.

    Pourquoi devoir sécuriser un truc qui ne vous appartient pas ?
    Si ces box appartiennent aux opérateurs et que celle-ci sont piratée alors ce sont eux les responsables et c'est à eux qu'il faut couper l'accès à internet ...
    Enfin c'est ma logique ...
    • [^] # Re: Responsable

      Posté par (page perso) . Évalué à 8.

      Le problème est que l'adresse IP de la box : c'est ton adresse IP. Donc d'après la loi tu es le responsable...
      C'est bien là tout le problème.
      • [^] # Re: Responsable

        Posté par . Évalué à 8.

        Je me demande d'ailleurs si ça ne serait pas une ligne de défense pour ceux qui seront sanctionnés : Avec un modem simple, l'adresse IP correspond au poste client donc l'utilisateur est responsable, avec une box, l'adresse IP correspond à la box qui est la propriété du FAI donc le responsable c'est lui.

        C'est comme si un problème survenait sur un compteur EDF. Comme écrit le plus souvent dessus, il est la propriété d'EDF. L'utilisateur est responsable de ce qu'il y a derrière mais le compteur est ce qu'il y a avant est de la responsabilité d'EDF.

        Comme le disait il y a peu les "5 gus dans un garage", le projet Hadopi est calqué sur les usages d'il y a 5-10 ans, quand une connexion = 1 ordinateur. Avec les boxs et autres routeurs ça n'a pas de sens. Que se passe-t-il si le mouchard est installé sur le PC de papa et que les enfants téléchargent sur un autre PC ? Le "bon père de famille" (c'est à la mode comme expression) pourra sans problème prouver qu'il avait "sécurisé" sa connexion (selon les modalités prévues par la loi). Bref c'est inapplicable.
        • [^] # Re: Responsable

          Posté par (page perso) . Évalué à 2.

          Sauf si le logiciel hadopi inclut le sniffer réseau...


          Rien que de penser au "comment" ce bijou devra être programmé (as root, envoi de données régulières, etc...) je l'aime déjà, ce mouchard !

          j'espère qu'ils feront un paquet gentoo, pour que je puisse l'installer :-)
          • [^] # Re: Responsable

            Posté par (page perso) . Évalué à 7.

            Sniffer le réseau alors que les box intègrent des switchs (ou que les clients en ont acheté un) risque d'être un peu plus compliqué que prévu :D
          • [^] # Re: Responsable

            Posté par . Évalué à 2.

            même si il inclue un sniffer réseau.
            si il est derrière un switch, il verras pas ce qui transite par ce switch pour aller vers la box.

            Il faut qu'il soit au niveau de la box pour que ça ait un sens.
            • [^] # Re: Responsable

              Posté par (page perso) . Évalué à 5.

              C'est la prochaine étape, celle où tous les FAI seront sous la coupe des copains (vive la concentration) et où il sera enfin possible d'accèder à du contenu de qualité, validé, et sain pour vos cerveaux : Sarkonet...
            • [^] # Re: Responsable

              Posté par . Évalué à 3.

              Si si, en faisant de l'arp spoofing, faut pas sous estimer ce mouchard :)
            • [^] # Re: Responsable

              Posté par . Évalué à 5.

              Ah oui, et si vous surfez sur des sites avec certificats et que votre navigateur met "certificat invalide", surtout ne vous inquiétez pas, c'est le mouchard qui vous sécurise en "man in the middle" pour plus de sécurité
              • [^] # Re: Responsable

                Posté par (page perso) . Évalué à 2.

                Le mouchard peut installer les certificats qui vont bien pour le navigateur.
          • [^] # Re: Responsable

            Posté par . Évalué à 3.

            Si tant est qu'il y aura un quelconque logiciel HADOPI. Pour le moment tout ce que la loi dit (telle qu'adoptée par le Sénat, mais je ne pense pas que ça changera radicalement à l'Assemblée Nationale) c'est ça :

            « Art. L. 331-30. – Après consultation des parties intéressées ayant une expertise spécifique dans le développement et l’utilisation des moyens de sécurisation destinés à prévenir l’utilisation par une personne de l’accès à des services de communication au public en ligne, la Haute Autorité peut établir la liste des spécifications fonctionnelles pertinentes que ces moyens doivent présenter pour être considérés comme exonérant valablement le titulaire de l’accès de sa responsabilité au titre de l’article L. 336-3.

            « Au terme d’une procédure d’évaluation certifiée prenant en compte leur conformité aux spécifications visées au précédent alinéa et leur efficacité, la Haute Autorité peut labelliser les moyens de sécurisation dont la mise en œuvre exonère valablement le titulaire de l’accès de sa responsabilité au titre de l’article L. 336-3. Cette labellisation est périodiquement revue.

            « Un décret en Conseil d’État précise la procédure d’évaluation et de labellisation de ces moyens de sécurisation.


            Vu comment le gouvernement fonctionne habituellement, ça m'étonnerait qu'on nous sorte un nouveau logiciel de nulle part commandé par le gouvernement. Je vois plus une belle liste de systèmes de sécurité à mettre obligatoirement en place sur son réseau genre obligation d'avoir du WPA2, un firewall (sur la box ou personnel), un antivirus, etc. Le tout certifié par l'HADOPI. C'est paradoxal mais ça pourrait mener à améliorer la sécurité de tout le parc informatique particulier en France... Par contre on va se marrer si McAfee et Symantec sont certifiés et rien pour les systèmes libres, ou encore si ton fournisseur d'accès ne propose pas de boîtiers d'accès aux normes...
            • [^] # Re: Responsable

              Posté par . Évalué à 5.

              Par contre on va se marrer si McAfee et Symantec sont certifiés et rien pour les systèmes libres

              À voir. J'imagine bien: sanction du linuxien=>contestation=>passage devant le juge=>application des principes généraux du droit dont: <<À l'impossible nul n'est tenu>>.

              Inexistence de l'anti-virus certifier sous Linux, impossibilité de l'utiliser, Linuxiens couverts de facto. C'est gros, mais ça me semble cohérent. Enfin, plus cohérent que trouver un anti-virus certifier pour Nintendo DS.
              • [^] # Re: Responsable

                Posté par . Évalué à -3.

                enfin le coup du logitiel certifier c'est pour contester en cas d'accusation, la coupure internet c'est pas parce que tu n'as pas installer progdemerdecertifiéHADOPI.

                donc'est juste que tu pourra pas dire: " j comprend pas j'étais protégé par machinHADOPI )

                mais la un petit recours devant la cours européenne pournon respect des droit de l'homme ( présomtion d'innocense) doit passer non ?
                • [^] # Re: Responsable

                  Posté par . Évalué à 2.

                  Si tu veux, la riposte graduée contre le téléchargement illégal a déjà été censurée par le CC à l'époque du vote de la DADVSI.

                  Albanel partirait dans le mur si elle faisait la même erreur. "Création et internet" instaure donc un nouveau délit: la non protection de sa ligne. Et c'est ça et uniquement ça que l'HADOPI pénalise.

                  La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise. http://maitre-eolas.fr/2009/03/04/1333-hadopi-mon-amie-qui-e(...)

                  Ne pas oublier que le téléchargmeent illégal est déjà sanctionné par DADVSI au titre d'une contrefaçon (3ans prison+300 000euros).

                  Après tu as raison, l'Europe sera un allié précieux, mais les tribunaux français aussi (car ils ne sont pas à la botte des lobby contrairement à notre gouvernement).
                  • [^] # Re: Responsable

                    Posté par . Évalué à -1.

                    oui enfin entre :
                    "obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation"
                    et installer mouchardquisertarienHADOPI c'est pas tout a fait pareil.

                    la subtilité est importante exemple:

                    version obligation d'installer HADOPI++secure:

                    - vous avez pas sécurisé votre ligne avec HADOPI++secure
                    -mais j pouvais pas ca existe pas sous linux ( ou autre OS)


                    version "obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation"

                    - vous avez pas sécurisé votre ligne
                    -mais j pouvais pas ca existe pas sous linux ( ou autre OS)
                    - fallait sécurisé autrement!

                    en gros j'ai bien peur que ca finisse en:
                    si t'as windows tu peut install HADOPI++secure
                    sinon t'as choisis autre chose ben tu doit t'y connaitre donc assurer la sécurisation de la ligne.

                    et pis comme on le sais si bien si ton réseau est bien secure c'est pas possible de se faire pirater enfin (mais non j vous dit .... ).
      • [^] # Re: Responsable

        Posté par . Évalué à 2.

        c'est pas "ton" adresse IP. C'est l'adresse IP du FAI qui est attribué à ton accés. (et c'est pourquoi toutes les comparaisons avec des RA ou autres sont fausses :))

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.