Journal Parano? Moi j'ai dit Parano?

Posté par (page perso) .
Tags : aucun
1
26
nov.
2006
Depuis le temps que mes gamins utilisent MSN à tout va, une idée me trotte dans la tête avec insistance: comment être certain que tout ce qu"ils se racontent entre ados reste véritablement dans leur cercle privé?

Hier donc j'ai pris 5 minutes pour vérifier ce à quoi je pensais: j'avais depuis des mois un compte inutilisé sur dyndns. Je créé donc l'entrée qui va bien dans ma conf Apache et envoie l'url piégeuse (jamais utilisée ni mentionnée nulle part évidemment) à mon fils via le service incriminé (MSN pour ceux au fond près du radiateur).

Et ce matin un petit grep sur access_log me ramène un gros poisson:

XXXXX.homelinux.org 194.72.238.62 - - [26/Nov/2006:08:18:40 +0100]

Mais qu'est-ce que netcraft vient faire là-dedans? A priori les transfert de zone ne sont pas autorisés sur dyndns:

marge apache2 # dig @204.13.249.81 homelinux.org AXFR

; DiG 9.3.2 @204.13.249.81 homelinux.org AXFR
; (1 server found)
;; global options: printcmd
; Transfer failed.


Netcraft ne pouvait donc pas connaître l'existence de ce domaine et encore moins l'url envoyée.

J'en conclue donc (trop vite?) que ma pêche a été bonne et que Netcraft se charge de la basse besogne de Ms dont seuls leurs serveurs étaient au courant de l'existence de l'url en question.

Je ne compte pas m'arrêter en si bon chemin et vais aujourd'hui tenter une ou deux autres expériences intéressantes dont je vous tiendrais au courant des résultats bien évidemment.
  • # Il faut lire les conditions...

    Posté par . Évalué à 10.

    ... mais je crois que dans le truc qu'il faut accepter pour se connecter à MSN, on promet de coucher avec tout employé microsoft qui le demande, voire lui prêter sa conjointe/son conjoint, on leur donne la propriété sur tout ce qu'on mentionne, on renonce à ses droits parentaux en leur faveur, etc.

    Bon, j'exagère peut-être un peu, mais en gros ce ne sont pas eux qui sont malhonnêtes, ce sont les gens qui acceptent d'utiliser leur serveur qui ont explicitement accepté la totale.
    • [^] # Re: Il faut lire les conditions...

      Posté par (page perso) . Évalué à 8.

      Pour info: http://privacy.msn.fr/tou/

      Je garde toujours cette url dans mes favoris pour la ressortir aux windosiens qui ne prennent pas le temps de tout lire et qui clic sur suivant, suivant, suivant...

      A regarder de près notamment les paragraphes 8 et 9 qui sont assez halluciants...
      • [^] # Re: Il faut lire les conditions...

        Posté par (page perso) . Évalué à 4.

        A regarder de près notamment les paragraphes 8 et 9 qui sont assez halluciants...

        Merci, j'étais justement en train de lire la version anglaise et de m'attarder sur le paragraphe 9 dont voici la V.F grace à ton intervention:
        9. Confidentialité.
        Nous considérons votre utilisation du service comme confidentielle. Toutefois, nous pouvons accéder à ou divulguer des informations vous concernant, concernant votre compte et/ou le contenu de vos communications, afin de : (1) nous conformer à la loi ou aux processus juridiques qui nous sont applicables ; (2) faire appliquer et d’enquêter sur des violations potentielles du présent contrat, y compris l'utilisation de ce service dans le but de participer à ou de faciliter des activités qui violent la loi ; ou (3) protéger les droits, la propriété ou la sécurité de Microsoft, de ses employés, de ses clients ou du public. Vous acceptez les conditions d'accès et de divulgation stipulées dans le présent article.

        J'ai pas l'impression d'avoir violé quoique ce soit et pourtant Ms ne s'est pas géné pour communiquer à des partenaires le contenu de ma conversation. Quand je pense que c'est un lien hypertexte intitulé Microsoft respecte votre vie privée qui m'a amené à lire ce torchon. :-(

        Mais j'avais zappé le paragraphe précédent! C'est en effet hallucinant. Il ne me reste plus qu'à traduire ça dans un langage d'ados pour les faire migrer sur Jabber, mais ça c'est pas une mince affaire (c'est coriace à cet age là ;). Peut-être que le résultat de l'expérience suivante achèvera de les convaincre...

        A suivre...
        • [^] # Re: Il faut lire les conditions...

          Posté par (page perso) . Évalué à 4.

          Bof, en fait si je lis correctement l'article 8, il dit juste que si tu écris une doc pour msn, Microsoft peut te la piquer et l'utiliser comme bon lui semble. Certes, c'est une violation de la propriété intellectuelle, du moins dans sa version européenne (aux USA ce genre de cession est tout à fait légale il me semble), mais ce n'est pas comme s'ils pouvaient s'arroger des droits sur tous les documents que tu transmets via MSN (ce que j'avais cru lors d'une première lecture un peu rapide). Si tu es contre, tu n'as qu'à pas écrire de doc sur MSN, ou alors écrire une doc sur MSN mais sans l'utiliser.
          • [^] # Re: Il faut lire les conditions...

            Posté par (page perso) . Évalué à 1.

            > Bof, en fait si je lis correctement l'article 8, il dit juste que si tu écris une doc pour msn, Microsoft peut te la piquer et l'utiliser comme bon lui semble.

            Simple question de ma part: ils font comment pour savoir que le document que j'envoie est en rapport avec MSN sans le lire auparavant ? D'autre part et sans être juriste, il me semble que la clause 'en relation avec le service' est assez floue pour être interprêtée de nombreuses manières.
            • [^] # Re: Il faut lire les conditions...

              Posté par (page perso) . Évalué à 2.

              Non mais ça n'a rien à voir avec le fait d'envoyer la doc par msn. C'est une doc que tu mets sur ton site web par exemple. En gros, ça doit être pour éviter que tu fasses un bouquin sur msn (même si ça me semble hyper-étrange que tu n'aies pas le droit d'écrire un tel bouquin sans qu'il devienne propriété de Microsoft - voire franchement illégal, en France du moins).

              On est d'accord, c'est une clause qui pue, mais rien à voir avec l'espionnage des communications.
          • [^] # Re: Il faut lire les conditions...

            Posté par . Évalué à 4.

            Ah, ouf. Seulement ça.

            Je croyais juste que Microsoft voulais nous protéger des logiciels libres qui violaient la propriété intellectuelle.
        • [^] # Re: Il faut lire les conditions...

          Posté par (page perso) . Évalué à 2.

          Je suis con, ou je vois pas ce que cet art. 9 a de choquant ?
          Je trouverai scandaleux que MS refuse de se plier aux lois des pays dans lesquels il exerce ; et je trouverai bizarre qu'il ne fasse rien si quelqu'un ne respecte pas le contrat, et bizarre aussi qu'il ne cherche pas à se défendre si on utilise ses logiciels contre lui, pour lui nuire directement.
          En ces temps de LCEN et de Patriot Act, tu crois que les serveurs par lesquels transitent les conversations Jabber ne doivent pas, eux aussi, conserver les logs des conversations, et les montrer aux autorités si la loi les y oblige ?
          • [^] # Re: Il faut lire les conditions...

            Posté par (page perso) . Évalué à 3.

            Si j'ai bien compris ce qui est scandaleux ce n'est pas l'article 9 (qui est comme tu le dis tout à fait normal, bien que le point (3) soit sujet à interprétations), mais le fait que justement il ne le respecte pas ...
          • [^] # Re: Il faut lire les conditions...

            Posté par (page perso) . Évalué à 1.

            En ces temps de LCEN et de Patriot Act, tu crois que les serveurs par lesquels transitent les conversations Jabber ne doivent pas, eux aussi, conserver les logs des conversations, et les montrer aux autorités si la loi les y oblige ?

            La loi aurait donc déja imposé à Ms de dévoiler le contenu de mes conversations d'hier avec mon fils? Hé ben, je vais devoir me méfier alors.

            Comme le dit si bien Guy Bedos: c'est pas parce que je suis pas Parano qu'ils sont pas tous après moi... ;)
          • [^] # Re: Il faut lire les conditions...

            Posté par (page perso) . Évalué à 4.

            La loi est au dessus des contrats. Les clauses qui vont à l'encontre de la loi sont considérées comme nulles.

            Et il arrive souvent que les sociétés fassent des contrats avec des clauses nulles. Et oui le consommateur moyen n'est pas censé savoir qu'elle est nulle et donc à moins de chance d'attaquer.

            Pour Jabber tu peux choisir des serveurs qui ne sont pas aux états unis... donc ce n'est pas un problème.
      • [^] # Re: Il faut lire les conditions...

        Posté par . Évalué à -5.

        Moi je te propose un truc, c'est d'apprendre la difference entre MSN (site web) et MSN Messenger.

        Une fois que t'auras appris la difference, tu pourras associer cette URL au service concerne, aller voir tous les autres services du meme type(Yahoo, AOL, ...) et te rendre compte qu'ils contiennent tous la meme chose.
        • [^] # Re: Il faut lire les conditions...

          Posté par (page perso) . Évalué à 9.

          Ce contrat est bien celui qu'on obtient si on clic sur "conditions d'utilisation" sur la page de MSN Messenger

          Et mon serveur Jabber n'a absolument pas les même conditions d'utilisation
  • # ...

    Posté par . Évalué à 5.

    Je plussois énergiquement, il y a, comme pour tous les softmerdes de chez crosoft un joli EULA (CLUF en français, je crois), à accepter. Si tu l'acceptes (mais un enfant mineur, donc placé sous la responsabilité de ses parents a-t-il le droit d'accepter un tel contrat, ne serait-ce pas à ses parents de le faire), eh bien il ne faut pas venir pleurer après...
    • [^] # Re: ...

      Posté par . Évalué à 2.

      .... d'où l'importance d'expliquer les tenants et les aboutissants du CLUF avant !
    • [^] # Re: ...

      Posté par . Évalué à 4.

      Un mineur ne peut contracter.
      L'autre partie doit le vérifier.
  • # dyndns

    Posté par . Évalué à 7.

    C'est possible d'être sûr que Dyndns n'y est pour rien ?
    Ca me paraît vachement gros que le contenu d'absolument toutes les conversations msn soit automatiquement analysé et toutes les urls données à un organisme comme Netcraft..
    • [^] # Re: dyndns

      Posté par . Évalué à 3.

      Je suis assez d'accord. À quoi ressemblait l'url ? C'était simplement http://chezmoi.homelinux.org ou un truc http://chezmoi.homelinux.org/tunedevenirasjamaislurl.toto ? Dans le premier cas, c'est assez facile à deviner donc on peut imagnier que ça vienne de dyndns qui fournit des données à Netcraft. Par contre si tu as envoyé la 2ème, ta théorie est plus plausible.

      Je ne serais pas étonné que dyndns ait également des conditions d'utilisation pas claires ...
    • [^] # Re: dyndns

      Posté par (page perso) . Évalué à 8.

      C'est possible d'être sûr que Dyndns n'y est pour rien ?

      Comme je l'ai écris, j'ai ce sous-domaine depuis des mois (voire des années). Seulement je ne l'utilisais pas et n'avais par conséquence aucune entrée dans mes confs d'Apache qui corresponde à ce sous-domaine. Aussi le fichier access_log ne me révèlera rien puisque je n'ai créé le directory et le virtualhost qu'hier. Par contre il est facile de savoir si quelqu'un a tenté d'accéder à cette url avant hier:
      marge apache2 # grep homelinux error_log

      Nada, rien, makache! Comme c'est bizarre, dyndns aurait donc refilé l'url postée dans MSN le jour même où je décide de lui créer une entrée dans mon Apache...
      Mais comme certains semblent avoir encore des doutes, j'ai relancé le test avec un domaine qui m'appartient et dont je gère le dns moi-même (avec un allow-transfer { none; }; pour les récalcitrants). Je viens juste de créer un sous-domaine pour l'occasion (plusieurs même).
      Evidément l'url piégeuse ne s'arrête pas à un simple http://www.mondomaine.tld mais est bien plus compliquée et introuvable autrement que par le lien posté dans la conversation en ligne.
      Demain nous dira si Netcraft ou quelqu'un d'autre passe encore par là. J'ai même poussé le vice encore plus loin et n'ai pas posté directement une des url mais l'ai camouflée dans un fichier texte histoire de voir à quel point les utilisateurs de MSN sont flicqués.
      • [^] # Re: dyndns

        Posté par . Évalué à 1.

        Et ca t'as jamais traverse l'esprit que quand tu click sur le lien, ton provider internet voit la requete HTTP lui aussi et pourait l'envoyer a NetCraft ?

        Non bien sur, ca ce n'est pas possible, seul MS est capable de violer la vie privee des gens.
        • [^] # Re: dyndns

          Posté par . Évalué à 6.

          ben suffit d'envoyer une requete bidon pour vérifier, mais faut reconnaitre que quand on travaille au niveau 5 , il est plus facile de faire mumuse avec le contenu du message que quand on travaille au niveau 2 ou 3 (bien entendu ca reste aussi possible)
          Enfin moi je dis ca je dis rien .
      • [^] # Re: dyndns

        Posté par . Évalué à 3.

        Comme je l'ai écris, j'ai ce sous-domaine depuis des mois (voire des années).

        Ben comme tu le dis, ça fait longtemps. on peut supposer que DynDns ait une sorte de procédure pour les noms de domaines en "idle" depuis un moment, comme c'est fait avec les comptes "email", "forum" etc etc...
        Mais bon, ça ne dit pas pourquoi passer par NetCraft, ils n'ont pas ce genre d'applications en interne?

        Je ne cherce pas à retourner le truc contre toi, au contraire, ça a permit tout de même de mettre en evidence les abérrations de la CLUF de Crosoft concerntant l'utilisation de son MSN/PASSEPORT, j'ose imaginer que ça s'étend au reste des logiciels Crosoft.
        Quid de la CLUF d'APPLE ?

        bye

        ps: maintenant vérifie qu'il n'y ait pas d'hélico avec une équipe d'assault au dessus de chez toi :)
  • # et la deuxieme personne au courant est?

    Posté par . Évalué à 0.

    dyndns!

    voila. L'affaire est classe, c'est beaucoup plus probable que dydns file ses fichiers a netcraft, que msn aille filer les URL des conversations.
  • # Email

    Posté par . Évalué à 5.

    Il y a des gens qui avaient fait le même genre de choses avec le mail, et visiblement ils étaient lus aussi:
    http://www.computerbytesman.com/privacy/emailsnooping.htm

    Lors du scandale AT&T aux US, il avait été revelé que le gouvernement américain avait des machines capables de faire du filtrage a 10Gb/s dans les points de peering de AT&T:
    http://www.eff.org/legal/cases/att/

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.