Gravatar couramment utilisé Blog perso de Paul Da Silva

Petit retour sur IPFuck !

Posted on | juin 8, 2010 | 30 Comments

Dimanche soir je lançais IPFuck, une extension firefox d’HTTP poisoning. Le concept étant assez technique et surtout très abstrait je m’attendais à ce que certains aient du mal à en saisir l’intérêt voire que d’autres comprennent complètement de travers le but de cette extension. J’ai donc surveillé (autant que possible) ce qui s’est dit un peu partout sur la toile et il s’avère que j’avais raison d’avoir peur…

Je me dois donc de revenir ici sur le fonctionnement et le principe d’IPFuck en répondant aux interrogations que j’ai le plus souvent relevé. J’en oublie surement, mais ces points là sont fondamentaux et doivent être traités maintenant (si bien que j’ai sauté ma pause repas et suis en train de bouffer un sandwich devant l’admin de WordPress pour ça ^^).

C’est dégueulasse, ça va faire accuser des innocents

Oui, mais non : effectivement si la justice s’entête à considérer l’adresse IP comme une information nominative il va y avoir un certain nombre de faux positifs. Mais ce que je fais là, de façon automatisée, est faisable depuis des années avec un niveau en informatique très relatif. J’ai juste accéléré le process en l’automatisant , les faux positifs existent depuis que l’IP existe et sont une vraie plaie compte tenu du caractère sacro-saint donné à l’IP par la justice.

C’est justement pour faire sauter cette idée selon laquelle l’IP est une information sûre que j’ai créé IPFuck… Pour que la justice prenne conscience du fait que l’IP est un indice et non une preuve !

Je peux pas télécharger deux fichiers à la fois sur Rapidshare

Sans déconner ? Une plateforme qui gagne des millions en louant de la BP à des ados en manque de p0rn a mis en place des systèmes de sécurité un peu plus évolués que ceux que l’on peut contourner avec une extension firefox de 13ko ? Zut alors !

Plus sérieusement : ce n’est pas le but d’IPFuck que de vous faire économiser 17€ tous les trimestres… Et oui un certain nombre de sites et services se basent encore sur l’adresse IP telle que transmise par la couche de transport du réseau. La bonne nouvelle c’est que la protection de ces sites là peut être bypassée par l’utilisation d’un vrai proxy qui n’en n’aura que faire des adresses IP envoyées sur la couche application du réseau et qui pourtant (jusqu’à IPFuck et à part dans de très rares cas jusque là) contient la réelle adresse IP du visiteur.

IPFuck nous met à l’abri d’Hadopi

Faux, faux, faux et archi faux ! Personne n’est à l’abri d’Hadopi ! que vous téléchargiez ou non ! La encore c’est ce que j’essaye de prouver avec IPFuck et ce qui a déjà été prouvé avec SeedFuck que je ne trouvais pas assez « grand-public » pour que le message passe bien.

La quantité de faux positifs (là encore) va être phénoménale et les relevés d’IP truffés d’adresses dont les propriétaires ne savent même pas ce qu’est le P2P.

Pour revenir sur IPFuck : il agit uniquement sur les flux HTTP qui passent par firefox. Rappelons qu’Hadopi ne surveillera (dans un premier temps) que le P2P… Alors à moins que l’on me présente un logiciel de P2P qui passe en HTTP via Firefox je ne vois pas comment IPFuck pourrait nous sauver d’Hadopi.

IPFuck envoie 3 paquets supplémentaires

Techniquement faisable, concept intéressant même… Mais non ce n’est pas ce qui se passe ^^ Ce qu’IPFuck fait c’est qu’il ajoute aux paquets envoyés 3 adresses IP dans des entêtes habituellement réservées à contenir l’adresse IP réelle de quelqu’un qui utilise un proxy.

Le service web que l’on consulte va donc détecter que l’on est derrière un proxy et essayer de savoir qui est réellement derrière ce proxy en allant lire les fausses IP qu’IPFuck a ajouté aux paquets.

IPFuck rend anonyme

Toujours pas (en même temps c’est le principe de cet article) : l’utilisation massive d’IPFuck combinée à la présence déjà massive d’utilisateurs de proxy va rendre très difficile la distinction entre une personne effectivement derrière un proxy et un utilisateur d’IPFuck. Et donc leur identification. Mais il y a toujours, en examinant au cas par cas, moyen de retracer quelqu’un qu’il utilise un proxy ou IPFuck.

Cette vérification systématique n’est que très rarement effectuée et cela est regrettable : Hadopi notamment se base sur un relevé des IP (par une société privée *sic*) qui seront ensuite transmises aux FAI pour identification… Si l’adresse en question a été usurpée c’est quand même le réel propriétaire de l’adresse qui va être inquiété…

Mais alors ça sert à rien

C’est encore l’aberration la moins aberrante que j’ai lu à propos d’IPFuck. Techniquement cela n’impacte en rien votre connexion.

Pour le service web que vous visitez (site internet, application, …) par contre cela rend très difficile l’identification rapide. Après enquête il sera assez vite déterminé que votre IP réelle n’est pas un proxy et vous pourrez donc être inquiété si vous avez utilisé IPFuck, persuadé d’être anonyme, pour commettre un cyberdélit quelconque…

Par contre vous pouvez utiliser IPFuck, en le réglant sur une plage d’IP américaine par exemple, pour visionner du contenu réservé aux résidents des Etats-Unis…

Petit test pour le fun : paramètrez IPFuck pour choisir une IP qui commence par 68 et allez sur le site officiel de South Park voir les épisodes (« Full episodes »). Désactivez IPFuck et rafraichissez la page ?

Un autre test ? : laissez la plage IP entre 0.0.0.0 et 255.255.255.255 et allez sur ce site : http://geotool.flagfox.net/ A chaque rafraichissement vous êtes citoyen d’un nouveau pays !

Ce qu’il faut en retenir

Encore une fois le message à faire passer ici tient en une phrase, et il s’adresse (ça en fait des adresses en un article) directement à tout ceux qui basent des lois sur des relevés d’IP : ne faites pas confiance à une adresse IP !

Commentaires

30 Responses to “Petit retour sur IPFuck !”

  1. Orbital
    juin 8th, 2010 @ 15 h 03 min

    Très bon article, mais je crois qu’il y a une coquille dans le dernier paragraphe « l’aberration la mois aberrante » je pense que tu voulais plutôt dire « la moins ».

  2. Paul
    juin 8th, 2010 @ 15 h 17 min

    Mouahaha oui en effet, note à moi même : ne pas blogger en mangeant !

  3. Verbatim
    juin 8th, 2010 @ 17 h 12 min

    J’ai hésité, j’ai lu, je me suis renseigné, j’ai réfléchis, et puis j’ai adopté IPFuck, à savoir et l’extension Firefox et surtout la réflexion de l’auteur et d’autres qui y préside.
    Je n’ai jamais été l’un de ces gugusses qui téléchargent à la volée, qui piratent, qui friment d’avoir piqué ceci ou cela, c’est du vol caractérisé (même si ça touche les majors davantage que les artistes, ce qui n’est pas toujours le cas), v’est du vol donc, selon moi. Mais par contre, autant j’abhorre le vol autant j’exècre un pistage injustement pensé, faux dans la méthode et dangereux par les moyens mis en jeu. Ainsi, il est bon de désacraliser cette IP si avantagée par des technocrates de salon qui visiblement soit n’ont rien compris au Web soit n’ont rien pigé à l’entendement humain qui y règne: le Net est le lieu s’il en est où l’astreinte est perdante. Je crois néanmoins à la vertu de chacun et au respect de l’autre, y compris dans le fait de ne pas le voler.

  4. mollo
    juin 8th, 2010 @ 17 h 50 min

    J’ai blacklisté la Chine, je suis maintenant obligé d’ouvrir la porte à leur cochonneries pour éviter de vexer mes amis…

  5. Orbital
    juin 8th, 2010 @ 20 h 45 min

    Au fait c’est « juste » une version améliorée du principe que tu as déjà traité sur le pluggin modify header?

  6. Summerdream
    juin 8th, 2010 @ 22 h 39 min

    Merci pour toutes ces explications ! On va tester et puis on verra.

  7. IPFUCK.gouv
    juin 8th, 2010 @ 22 h 45 min

    Bonjour, perso, la page de test et les site de géolocalisation sont unanimes, ça marche pas… en tout cas pour moi (Ubuntu 10.04 et firefox 3.6.3 fourni par conical 1.0)

  8. Toto
    juin 8th, 2010 @ 23 h 42 min

    Pour que cette astuce (le header X-Forwarded-For) soit utile face à la Hadopi, ce n’est pas dans Firefox qu’il faut l’utiliser mais dans les clients de téléchargement qui utilisent des connexions HTTP, tel que les clients BitTorrent qui se connectent aux trackers.

  9. Paul
    juin 8th, 2010 @ 23 h 53 min

    @IPFUCK.gouv : essaye de cliquer sur l’icône en bas à droite – si elle est grise c’est que le plugin est désactivé

    @Toto : relis l’article, tu comprendra l’intérêt (et non l’efficacité) de ce projet par rapport à Hadopi…

  10. IPFUCK.gouv
    juin 9th, 2010 @ 7 h 25 min

    Bonjour Paul, oui le plug-in est activé (l’icone n’est pas cerclée de « l’interdiction »), quand je double clic il active/désactive, et bouton droit puis préférence, tout ce qui est contenu dans « headers to overwrite » est coché… en fait j’ai pas modifié la configuration logicielle.

  11. Paul
    juin 9th, 2010 @ 7 h 40 min

    Essaye de regarder dans le about:config si la préférence ipfuck.ipfuck_enabled est bien à true… Sinon je ne vois pas :/

  12. zorgue
    juin 9th, 2010 @ 12 h 06 min

    Ne marche pas avec wwe.com . Des que l’on veut lire une video, on nous invite à aller sur le site français qui lui n’en contient aucune !!!!

    @IPFUCK : j’ai la même configuration que toi et cela marche très bien, en tout cas avec géotool.

  13. IPFUCK.gouv
    juin 9th, 2010 @ 22 h 25 min

    Salut salut… J’ai vérifié dans about:config, j’ai mis les 2 valeur extention.ipfuck à TRUE et redemmarré FF. Nickel Chrome (pas celui de google là). Bonne continuation…

  14. wigoelbar
    juin 10th, 2010 @ 9 h 34 min

    Vu sur le site de sebsauvage aussi, en moins développé.
    C’est bien d’avoir ce genre de sites qui se complètent :).
    Bons articles, merci 🙂

  15. schakal
    juin 11th, 2010 @ 3 h 52 min

    Meme soucis que certain apparement, IpFuck ne fonctionne malheureusement pas sous ubuntu 9.10 et firefox 3.5.9 . Il m’est impossible de cliquer sur le bouton preference dans modules complementaire. Dans about:config, tout a l’air correcte, seule la ligne extensions.ipfuck.ip_list est vide. Une idee?

  16. ian
    juin 11th, 2010 @ 18 h 47 min

    « Sans déconner ? Une plateforme qui gagne des millions en louant de la BP à des ados en manque de p0rn a mis en place des systèmes de sécurité un peu plus évolués que ceux que l’on peut contourner avec une extension firefox de 13ko ? Zut alors ! »

    Arf, dommage j’y croyais, enfin j’espérai (mais pas pour le porn !), et merci pour la tournure de l’article, c’est très plaisant à lire !

  17. #6. La BlogAdictude de NeoSting (23.2010) | NeoSting.net
    juin 11th, 2010 @ 19 h 59 min

    […] compatible, pour le moment, avec Firefox. Suite à de nombreuses interrogations, Paul a ajouté un nouvel article pour mieux cerner l’utilisation de cet […]

  18. Vincent RABAH
    juin 15th, 2010 @ 12 h 29 min

    Bonjour,

    J’ai testé pour l’utiliser le plugin FF ipfuck. Mais, je n’en comprends pas l’utilité en matière de confidentialité ? En effet, au regard des logs d’un site web, ne figure que la REMOTE_ADDR, c’est à dire ma vrai adresse ip !! Donc, où est la protection ?

    Merci de m’éclairer 🙂
    A bientôt.

  19. Paul
    juin 15th, 2010 @ 16 h 24 min

    Comme je l’ai expliqué sur le site du projet ou ici le but du projet est uniquement de démontrer que l’adresse IP n’est pas une donnée fiable. Il n’y a pas de protection particulière à utiliser IPFuck.

    La seule réelle avancée technique apportée par ce plugin est que l’on ne peut maintenant plus différencier un utilisateur de proxy d’un utilisateur d’IPFuck…

  20. www.punk
    juin 24th, 2010 @ 16 h 46 min

    merci pour le coté grand public et facile à faire suivre, comme démonstration avec divers sites de localisation d’ip, ça parle tout de suite
    merci encore

  21. Lolo
    juin 25th, 2010 @ 11 h 15 min

    Si il surveille que le P2P et qu’on télécharge tout en HTTP
    que l’on ai IpFuck ou pas on ne risque rien de Hadopi ?

  22. popol
    juin 25th, 2010 @ 20 h 42 min

    tor & ipfuck
    dans ipfuck ip list add mettre les ip, warner,sonny,universal,bref pourquoi pas aussi les ip de TMG (trident media guard) ça peut être marrant quant ils feront leurs « espionnage ».

  23. moi
    juin 27th, 2010 @ 14 h 04 min

    @popol

    C’est quoi les IP de warner, sonny, universal, TMG et pourquoi pas Sacem

  24. Camille
    juillet 1st, 2010 @ 12 h 12 min

    Donc si je comprends bien

    En gros pour tracer quelqu’un si on limite à tracer l’adresse IP de transport, on n’a plus de faut positif, mais juste des vrais IP qui sont sous une juridiction ou une autre (par exemple pour Hadopi des proxy échappant à la juridiction française). Cette adresse IP de transport sans laquelle on ne recevrait pas les infos (page web, image, fichier, etc..) est bien une preuve de notre connexion.

    Et donc Hadopi ne prend le risque des faut positif que si elle essaye de savoir qui se trouve derrière une adresse ip de proxy qui n’en serait pas vraiment une.

    Si on pousse le raisonnement pour Hadopi il vaut même mieux se limiter à l’adresse de transport car du moment que l’ip est sous une jurdiction qu’elle contrôle elle peut attenter une action de manière sûr que ce soit l’ip d’une personne seul ou d’un proxy c’est pareil.

    Conclusions IP Fuck ne fonctionnera qu’un temps, le temps que les Trackeur Hadopien ou autre se recale sur l’adresse de transport, seul véritable adresse.

    Ou j’ai rien compris ?
    Reste plus qu’à trouver des proxy qui ne sont pas dans la juridiction à laquelle on appartient soit même et qui ne transmette pas l’adresse IP d’origine.

  25. DomS
    décembre 5th, 2010 @ 12 h 38 min
  26. IP
    février 7th, 2011 @ 10 h 32 min

    Bonjour Paul,
    IPFuck pas compatible avec Firefox 4, peux-tu faire un upgrade ?
    Merci

  27. Renaud
    mars 21st, 2013 @ 1 h 52 min

    Coucou Pauls,

    J’ai découverts ton joujou via Seb S. et c’est plutôt sympa 🙂 Donc comme beaucoup d’autres joujou je joue avec 🙂

    Je voulais juste faire une remarque sur ce passage de ton article:
    « Et oui un certain nombre de sites et services se basent encore sur l’adresse IP telle que transmise par la couche de transport du réseau. »

    Si j’ai bien compris ton outil il modifie les en-têtes HTTP. Il agit donc plutôt sur la couche applicative que transport ?

    Sur ce dernier l’IP est fiable 🙂 En tout cas pour la terminaison de la session TCP/IP (pas forcement pour l’auteur biensur)

    En tout cas merci pour ce nouveau joujou 🙂
    Renaud

  28. Yoloo
    avril 5th, 2013 @ 12 h 25 min

    Bonjour,
    Malheureusement, l’extension ne fonctionne pas chez moi (navigateur SRWIron, basé sur Chrome)

    :'(

  29. bernie
    février 4th, 2015 @ 16 h 20 min

    bonjour, suite à une maj de firefox le navigateur me dit qu’IPFUCK n’est plus compatible, as-tu une solution à ce problème ?
    cordialement.

  30. Betty
    mars 20th, 2015 @ 13 h 43 min

    Bonjour,

    IPFLOOD pose des problèmes quand je veux me connecter à mes comptes Yahoo mail et à Google mail.

    J’ai donc rajouté « translate.google.fr » et « translette yahoo.fr »

    Je voulais savoir si ça suffisait ou s’il y avait une adresse typique mail à rajouter.

    Merci pour votre aide 😉

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo
1GZnMQ9wXyifxCnDEqg8CSGdngWcKWptHv

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Best Bitcoin debit card

Zcash Mining