Gravatar couramment utilisé Blog perso de Paul Da Silva

On reparle de la négligence caractérisée maintenant ?

Posted on | mai 8, 2012 | 7 Comments

La position du nouveau président a été relativement floue quant à la question de la Hadopi lors de sa campagne. Aujourd’hui encore la seule référence relativement claire dont je dispose est un tweet de Fleur Pellerin qui dit vouloir abroger Hadopi pour la remplacer. Fair enough, mais attention à ce que vous garderez du dispositif et vers qui / quoi il s’orientera.

Je n’ai eu de cesse, comme beaucoup, de dénoncer le fameux délit de négligence caractérisée que notre loi fétiche a tous a mis en place en essayant d’expliquer en quoi il était déraisonnable de demander à tout un chacun d’assumer la responsabilité d’un acte technique lourd à infaisable : la sécurisation de sa connexion à internet. Pour rappel la connexion en question va du poste de l’utilisateur aux contenus qu’il visite et chaque maillon de cette chaine peut présenter une faille de sécurité plus ou moins lourde.

Intéressons nous à ce dernier maillon un instant…

Depuis quelques années maintenant je suis consultant à mon compte spécialisé en sécurité des applications Web. A ce titre j’ai audité des sites et applications pour des clients très divers allant d’institutions étatiques aux entreprises du CAC40 en passant par la petite PME qui vient de subir une attaque (tous sont protégés par les clauses de confidentialité signées, je ne donnerai donc pas de nom). Le point commun que j’ai trouvé à tous ces clients : il y avait toujours une faille (et souvent plus). Mais à la limite c’est normal, ce n’est pas leur boulot…

Alors ces deux derniers jours je me suis donné pour challenge de jouer avec des sites d’entreprises dont c’est justement le boulot : les éditeurs d’antivirus. Je n’ai pas joué non plus 200 ans et je n’avais pas accès aux sources des sites webs. Je me suis donc placé dans le rôle d’un attaquant pressé et ai essayé, armé d’un simple navigateur (firefox si vous voulez tout savoir) de dénicher des failles permettant par la suite de compromettre la sécurité de la connexion internet d’un utilisateur (au sens large prévu dans la loi) visitant les sites en question. Les deux seules réelles différences avec un attaquant mal intentionné ici sont que j’ai signalé les failles trouvées aux éditeurs correspondants et que je n’ai pas cherché à être anonyme.

Le résultat m’a surpris moi-même : sur les sites des principaux antivirus sur le marché seul celui de NOD32 (Eset) m’a résisté plus de 1h30, délai que je m’étais fixé (le temps c’est de l’argent ^^) et le lendemain de mes tests (annoncés sur twitter) j’ai eu la surprise de trouver un email m’indiquant une faille dans ma boite aux lettres (damn je l’ai laissée passer celle là !).

Au tableau de chasse sont donc tombés en deux jours, sur mon temps libre, des sites appartenant à :

– AVG (Injection SQL + XSS session stored dom based sur un site satellite)
– Kaspersky (XSS persistante sur un site satellite)
– Symantec (XSS dom based sur le site de paiement)
– Bitdefender (XSS persistante sur un site satellite couplé à du CSRF)
– McAffee (XSS persistante sur un site satellite)

A partir de ces failles j’aurai pu, en étant beaucoup moins bien intentionné que je ne le suis, compromettre les réseaux locaux des visiteurs des sites en question, les traquer, leur faire exécuter des actions contre leur gré vers des sites dont la consultation répétée est interdite, … Et la liste des possibles est longue… Le tout était présent sur des sites d’entreprises compétentes, fournissant de bons outils de sécurisation – imaginez ce qui traine sur les ordinateurs de la moitié des Français…

Alors monsieur le président, dans votre réflexion sur le remplacement de la Hadopi je vous prie de considérer ce qui suit : le seul intérêt de la négligence caractérisée est de permettre à l’état et à des entreprises privées d’avoir une excuse pour installer un logiciel espion sur les ordinateurs des français qui permettrait lors d’un jugement d’attester de la bonne volonté de la personne à avoir sécurisé son accès. Cette idée créée un précédent grave dans la mise sous surveillance de nos concitoyens et n’a pas de réalité technique tangible.

Il est impossible pour quiconque de sécuriser l’ensemble de sa connexion à Intenet car personne n’en maitrise tous les maillons. De plus demander à chaque français de se transformer en expert de la sécurité ne changerait rien puisque les experts eux-même ne peuvent penser à tout (et j’en sais quelque chose). Personne n’est infaillible et à moins de surveiller l’ensemble de la population à la Amesys il est impossible de prouver que la personne est de bonne foi par ce moyen là. Cherchez autre chose.

Ce billet est le premier d’une série qui sera adressée dans sa totalité aux nouveaux gouvernants de notre pays demandant la remise à plat de la quasi-totalité du règne Sarkozy sur l’Internet dans le but que la descente aux enfers cesse…

Commentaires

7 Responses to “On reparle de la négligence caractérisée maintenant ?”

  1. Lam
    mai 8th, 2012 @ 19 h 04 min

    Franchement Paul, là tu m’impressionnes vraiment. Chapeau Monsieur, ce combat est vraiment tout à ton honneur.

    J’espère juste que les cibles y passeront au moins quelques secondes de réflexion, car les conséquences sont comme tu le décris, fondamentales 😉

  2. tth
    mai 8th, 2012 @ 22 h 45 min

    Bonsoir.

    Je connais un peu toutes ces problématiques de sécurité, mais je me demande ce que tu entends exactement par « site satellite », parce que ça peut recouvrir tout et n’importe quoi. Peux-tu préciser un peu ce que c’est exactement ?

  3. Paul
    mai 8th, 2012 @ 22 h 53 min

    Je veux simplement dire qu’il s’agit d’un site de la marque mais pas du site institutionnel 😉

  4. Gilles
    mai 15th, 2012 @ 10 h 32 min

    Etle délai de réactivité / correction ?

  5. Julien
    mai 15th, 2012 @ 10 h 45 min

    Très bon article .

  6. OursALunette
    mai 15th, 2012 @ 15 h 09 min

    Mais le mail dont tu parles c’est les gars de Eset qui te l’ont foutu ou c’est moi qui ait mal compris ?

  7. V!nce
    mai 15th, 2012 @ 15 h 44 min

    J’abonde dans la direction de cette rivière de bon sens. Avec le bémol que le but n’est pas d’atteindre la vie privée des Francais en soi, mais bel et bien de faire du fric avec. Amesys ou TMG, même combat : un logiciel @ 40 millions de clients, recommandé par l’état, quel buisness case magnifique !

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo Paul da Silva Bitcoin
1AyR34kffA5tMGBKgHDsmhSQUFVvMmx38C

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Bitcoin debit card