Petit retour sur IPFuck !

Dimanche soir je lançais IPFuck, une extension firefox d’HTTP poisoning. Le concept étant assez technique et surtout très abstrait je m’attendais à ce que certains aient du mal à en saisir l’intérêt voire que d’autres comprennent complètement de travers le but de cette extension. J’ai donc surveillé (autant que possible) ce qui s’est dit un peu partout sur la toile et il s’avère que j’avais raison d’avoir peur…

Je me dois donc de revenir ici sur le fonctionnement et le principe d’IPFuck en répondant aux interrogations que j’ai le plus souvent relevé. J’en oublie surement, mais ces points là sont fondamentaux et doivent être traités maintenant (si bien que j’ai sauté ma pause repas et suis en train de bouffer un sandwich devant l’admin de WordPress pour ça ^^).

C’est dégueulasse, ça va faire accuser des innocents

Oui, mais non : effectivement si la justice s’entête à considérer l’adresse IP comme une information nominative il va y avoir un certain nombre de faux positifs. Mais ce que je fais là, de façon automatisée, est faisable depuis des années avec un niveau en informatique très relatif. J’ai juste accéléré le process en l’automatisant , les faux positifs existent depuis que l’IP existe et sont une vraie plaie compte tenu du caractère sacro-saint donné à l’IP par la justice.

C’est justement pour faire sauter cette idée selon laquelle l’IP est une information sûre que j’ai créé IPFuck… Pour que la justice prenne conscience du fait que l’IP est un indice et non une preuve !

Je peux pas télécharger deux fichiers à la fois sur Rapidshare

Sans déconner ? Une plateforme qui gagne des millions en louant de la BP à des ados en manque de p0rn a mis en place des systèmes de sécurité un peu plus évolués que ceux que l’on peut contourner avec une extension firefox de 13ko ? Zut alors !

Plus sérieusement : ce n’est pas le but d’IPFuck que de vous faire économiser 17€ tous les trimestres… Et oui un certain nombre de sites et services se basent encore sur l’adresse IP telle que transmise par la couche de transport du réseau. La bonne nouvelle c’est que la protection de ces sites là peut être bypassée par l’utilisation d’un vrai proxy qui n’en n’aura que faire des adresses IP envoyées sur la couche application du réseau et qui pourtant (jusqu’à IPFuck et à part dans de très rares cas jusque là) contient la réelle adresse IP du visiteur.

IPFuck nous met à l’abri d’Hadopi

Faux, faux, faux et archi faux ! Personne n’est à l’abri d’Hadopi ! que vous téléchargiez ou non ! La encore c’est ce que j’essaye de prouver avec IPFuck et ce qui a déjà été prouvé avec SeedFuck que je ne trouvais pas assez « grand-public » pour que le message passe bien.

La quantité de faux positifs (là encore) va être phénoménale et les relevés d’IP truffés d’adresses dont les propriétaires ne savent même pas ce qu’est le P2P.

Pour revenir sur IPFuck : il agit uniquement sur les flux HTTP qui passent par firefox. Rappelons qu’Hadopi ne surveillera (dans un premier temps) que le P2P… Alors à moins que l’on me présente un logiciel de P2P qui passe en HTTP via Firefox je ne vois pas comment IPFuck pourrait nous sauver d’Hadopi.

IPFuck envoie 3 paquets supplémentaires

Techniquement faisable, concept intéressant même… Mais non ce n’est pas ce qui se passe ^^ Ce qu’IPFuck fait c’est qu’il ajoute aux paquets envoyés 3 adresses IP dans des entêtes habituellement réservées à contenir l’adresse IP réelle de quelqu’un qui utilise un proxy.

Le service web que l’on consulte va donc détecter que l’on est derrière un proxy et essayer de savoir qui est réellement derrière ce proxy en allant lire les fausses IP qu’IPFuck a ajouté aux paquets.

IPFuck rend anonyme

Toujours pas (en même temps c’est le principe de cet article) : l’utilisation massive d’IPFuck combinée à la présence déjà massive d’utilisateurs de proxy va rendre très difficile la distinction entre une personne effectivement derrière un proxy et un utilisateur d’IPFuck. Et donc leur identification. Mais il y a toujours, en examinant au cas par cas, moyen de retracer quelqu’un qu’il utilise un proxy ou IPFuck.

Cette vérification systématique n’est que très rarement effectuée et cela est regrettable : Hadopi notamment se base sur un relevé des IP (par une société privée *sic*) qui seront ensuite transmises aux FAI pour identification… Si l’adresse en question a été usurpée c’est quand même le réel propriétaire de l’adresse qui va être inquiété…

Mais alors ça sert à rien

C’est encore l’aberration la moins aberrante que j’ai lu à propos d’IPFuck. Techniquement cela n’impacte en rien votre connexion.

Pour le service web que vous visitez (site internet, application, …) par contre cela rend très difficile l’identification rapide. Après enquête il sera assez vite déterminé que votre IP réelle n’est pas un proxy et vous pourrez donc être inquiété si vous avez utilisé IPFuck, persuadé d’être anonyme, pour commettre un cyberdélit quelconque…

Par contre vous pouvez utiliser IPFuck, en le réglant sur une plage d’IP américaine par exemple, pour visionner du contenu réservé aux résidents des Etats-Unis…

Petit test pour le fun : paramètrez IPFuck pour choisir une IP qui commence par 68 et allez sur le site officiel de South Park voir les épisodes (« Full episodes »). Désactivez IPFuck et rafraichissez la page ?

Un autre test ? : laissez la plage IP entre 0.0.0.0 et 255.255.255.255 et allez sur ce site : http://geotool.flagfox.net/ A chaque rafraichissement vous êtes citoyen d’un nouveau pays !

Ce qu’il faut en retenir

Encore une fois le message à faire passer ici tient en une phrase, et il s’adresse (ça en fait des adresses en un article) directement à tout ceux qui basent des lois sur des relevés d’IP : ne faites pas confiance à une adresse IP !

30 réflexions sur « Petit retour sur IPFuck ! »

  1. Verbatim

    J’ai hésité, j’ai lu, je me suis renseigné, j’ai réfléchis, et puis j’ai adopté IPFuck, à savoir et l’extension Firefox et surtout la réflexion de l’auteur et d’autres qui y préside.
    Je n’ai jamais été l’un de ces gugusses qui téléchargent à la volée, qui piratent, qui friment d’avoir piqué ceci ou cela, c’est du vol caractérisé (même si ça touche les majors davantage que les artistes, ce qui n’est pas toujours le cas), v’est du vol donc, selon moi. Mais par contre, autant j’abhorre le vol autant j’exècre un pistage injustement pensé, faux dans la méthode et dangereux par les moyens mis en jeu. Ainsi, il est bon de désacraliser cette IP si avantagée par des technocrates de salon qui visiblement soit n’ont rien compris au Web soit n’ont rien pigé à l’entendement humain qui y règne: le Net est le lieu s’il en est où l’astreinte est perdante. Je crois néanmoins à la vertu de chacun et au respect de l’autre, y compris dans le fait de ne pas le voler.

  2. mollo

    J’ai blacklisté la Chine, je suis maintenant obligé d’ouvrir la porte à leur cochonneries pour éviter de vexer mes amis…

  3. IPFUCK.gouv

    Bonjour, perso, la page de test et les site de géolocalisation sont unanimes, ça marche pas… en tout cas pour moi (Ubuntu 10.04 et firefox 3.6.3 fourni par conical 1.0)

  4. Toto

    Pour que cette astuce (le header X-Forwarded-For) soit utile face à la Hadopi, ce n’est pas dans Firefox qu’il faut l’utiliser mais dans les clients de téléchargement qui utilisent des connexions HTTP, tel que les clients BitTorrent qui se connectent aux trackers.

  5. Paul Auteur de l’article

    @IPFUCK.gouv : essaye de cliquer sur l’icône en bas à droite – si elle est grise c’est que le plugin est désactivé

    @Toto : relis l’article, tu comprendra l’intérêt (et non l’efficacité) de ce projet par rapport à Hadopi…

  6. IPFUCK.gouv

    Bonjour Paul, oui le plug-in est activé (l’icone n’est pas cerclée de « l’interdiction »), quand je double clic il active/désactive, et bouton droit puis préférence, tout ce qui est contenu dans « headers to overwrite » est coché… en fait j’ai pas modifié la configuration logicielle.

  7. zorgue

    Ne marche pas avec wwe.com . Des que l’on veut lire une video, on nous invite à aller sur le site français qui lui n’en contient aucune !!!!

    @IPFUCK : j’ai la même configuration que toi et cela marche très bien, en tout cas avec géotool.

  8. IPFUCK.gouv

    Salut salut… J’ai vérifié dans about:config, j’ai mis les 2 valeur extention.ipfuck à TRUE et redemmarré FF. Nickel Chrome (pas celui de google là). Bonne continuation…

  9. wigoelbar

    Vu sur le site de sebsauvage aussi, en moins développé.
    C’est bien d’avoir ce genre de sites qui se complètent :).
    Bons articles, merci 🙂

  10. schakal

    Meme soucis que certain apparement, IpFuck ne fonctionne malheureusement pas sous ubuntu 9.10 et firefox 3.5.9 . Il m’est impossible de cliquer sur le bouton preference dans modules complementaire. Dans about:config, tout a l’air correcte, seule la ligne extensions.ipfuck.ip_list est vide. Une idee?

  11. ian

    « Sans déconner ? Une plateforme qui gagne des millions en louant de la BP à des ados en manque de p0rn a mis en place des systèmes de sécurité un peu plus évolués que ceux que l’on peut contourner avec une extension firefox de 13ko ? Zut alors ! »

    Arf, dommage j’y croyais, enfin j’espérai (mais pas pour le porn !), et merci pour la tournure de l’article, c’est très plaisant à lire !

  12. Ping : #6. La BlogAdictude de NeoSting (23.2010) | NeoSting.net

  13. Vincent RABAH

    Bonjour,

    J’ai testé pour l’utiliser le plugin FF ipfuck. Mais, je n’en comprends pas l’utilité en matière de confidentialité ? En effet, au regard des logs d’un site web, ne figure que la REMOTE_ADDR, c’est à dire ma vrai adresse ip !! Donc, où est la protection ?

    Merci de m’éclairer 🙂
    A bientôt.

  14. Paul Auteur de l’article

    Comme je l’ai expliqué sur le site du projet ou ici le but du projet est uniquement de démontrer que l’adresse IP n’est pas une donnée fiable. Il n’y a pas de protection particulière à utiliser IPFuck.

    La seule réelle avancée technique apportée par ce plugin est que l’on ne peut maintenant plus différencier un utilisateur de proxy d’un utilisateur d’IPFuck…

  15. www.punk

    merci pour le coté grand public et facile à faire suivre, comme démonstration avec divers sites de localisation d’ip, ça parle tout de suite
    merci encore

  16. Lolo

    Si il surveille que le P2P et qu’on télécharge tout en HTTP
    que l’on ai IpFuck ou pas on ne risque rien de Hadopi ?

  17. popol

    tor & ipfuck
    dans ipfuck ip list add mettre les ip, warner,sonny,universal,bref pourquoi pas aussi les ip de TMG (trident media guard) ça peut être marrant quant ils feront leurs « espionnage ».

  18. Camille

    Donc si je comprends bien

    En gros pour tracer quelqu’un si on limite à tracer l’adresse IP de transport, on n’a plus de faut positif, mais juste des vrais IP qui sont sous une juridiction ou une autre (par exemple pour Hadopi des proxy échappant à la juridiction française). Cette adresse IP de transport sans laquelle on ne recevrait pas les infos (page web, image, fichier, etc..) est bien une preuve de notre connexion.

    Et donc Hadopi ne prend le risque des faut positif que si elle essaye de savoir qui se trouve derrière une adresse ip de proxy qui n’en serait pas vraiment une.

    Si on pousse le raisonnement pour Hadopi il vaut même mieux se limiter à l’adresse de transport car du moment que l’ip est sous une jurdiction qu’elle contrôle elle peut attenter une action de manière sûr que ce soit l’ip d’une personne seul ou d’un proxy c’est pareil.

    Conclusions IP Fuck ne fonctionnera qu’un temps, le temps que les Trackeur Hadopien ou autre se recale sur l’adresse de transport, seul véritable adresse.

    Ou j’ai rien compris ?
    Reste plus qu’à trouver des proxy qui ne sont pas dans la juridiction à laquelle on appartient soit même et qui ne transmette pas l’adresse IP d’origine.

  19. DomS
  20. Renaud

    Coucou Pauls,

    J’ai découverts ton joujou via Seb S. et c’est plutôt sympa 🙂 Donc comme beaucoup d’autres joujou je joue avec 🙂

    Je voulais juste faire une remarque sur ce passage de ton article:
    « Et oui un certain nombre de sites et services se basent encore sur l’adresse IP telle que transmise par la couche de transport du réseau. »

    Si j’ai bien compris ton outil il modifie les en-têtes HTTP. Il agit donc plutôt sur la couche applicative que transport ?

    Sur ce dernier l’IP est fiable 🙂 En tout cas pour la terminaison de la session TCP/IP (pas forcement pour l’auteur biensur)

    En tout cas merci pour ce nouveau joujou 🙂
    Renaud

  21. Yoloo

    Bonjour,
    Malheureusement, l’extension ne fonctionne pas chez moi (navigateur SRWIron, basé sur Chrome)

    :'(

  22. bernie

    bonjour, suite à une maj de firefox le navigateur me dit qu’IPFUCK n’est plus compatible, as-tu une solution à ce problème ?
    cordialement.

  23. Betty

    Bonjour,

    IPFLOOD pose des problèmes quand je veux me connecter à mes comptes Yahoo mail et à Google mail.

    J’ai donc rajouté « translate.google.fr » et « translette yahoo.fr »

    Je voulais savoir si ça suffisait ou s’il y avait une adresse typique mail à rajouter.

    Merci pour votre aide 😉

Les commentaires sont fermés.