Lorsque l’on parle de piratage on utilise souvent les termes divx, mp3 et depuis peu pdf sans réfléchir à ce qui se cache derrière tout cela… J’ai eu envie d’approfondir légèrement la problématique et de la mettre en parallèle avec un autre type d’oeuvres de l’esprit : la peinture et l’art en général.

Avant que les K7, les CD et toutes ces autres cochonneries existent, avant que le cinéma ne coute presque une heure de smic horaire, avant le DVD, avant le Blu Ray, l’accès à la culture était beaucoup plus restreint et passait par les canaux officiels ou par la présence physique de l’artiste.

Impossible avant 1906 de retransmettre autre chose que la voix par la radio. Il faudra attendre 1946 pour voir les premiers vinyles arriver sur le marché. Avant 1895 il était impossible de s’enfermer dans des salles obscures pour suivre les aventures d’un personnage de fiction. Et finalement, avant 1926 notre temps de cerveau disponible était réellement disponible…

En un mot, les industries que l’on sait aujourd’hui inadaptées au marché actuel ne sont pas si vieille : le cinéma faisant figure d’ancêtre avec un âge respectable de 115 ans…

Et avant cela ?

Avant que tout ce pan de la culture ne cède au mercantilisme primaire et que les intérêts personnels prévalent sur ceux du public, les gens se déplaçaient. S’ils voulaient écouter de la musique ils allaient à un concert, s’ils voulaient voir une histoire ils allaient au théâtre… Aujourd’hui encore essayez de pirater une pièce de théâtre !

Avant cela on payait les artistes pour une performance, et pas pour une version rééditée de ladite performance…

Je sens les boucliers se lever et je me dois de mettre les choses au clair tout de suite (pour ceux qui ne me connaissent pas) : le cinéma est une invention magnifique, je ne peux pas vivre sans lui et je ne saurai faire la liste complète des moments de bonheur que le septième art a apporté dans ma vie !

Il n’en reste pas moins que le droit d’auteur créé initialement pour protéger une œuvre de l’esprit sur une durée permettant à l’artiste d’en vivre a changé de visage pour se transformer peu à peu en rente à vie – parfois même à mort, puisqu’il est de moins en moins rare de voir les héritiers d’un artiste toucher des royalties grâce aux lois de certains pays très avantageuses (la France incluse).

Et alors comment doit-on faire ?

Le droit d’auteur et la propriété intellectuelle ont été inventés pour permettre aux artistes de vivre en créant. Étant amoureux de la culture je suis bien entendu pour le maintien du droit d’auteur… Ou plutôt pour le retour au droit d’auteur !

Le droit d’auteur est actuellement encadré par un texte de loi qui stipule que celui-ci court 70 ans après la mort de l’auteur… Même d’un point de vue signification je n’arrive pas à voir où cette notion essaye de nous amener ?

Le droit d’auteur est un droit de l’auteur sur son oeuvre. Il devrait en tout état de cause être limité à la durée de sa vie !

De plus, une fois que l’oeuvre a été présentée au public elle lui appartient tout autant qu’à l’auteur. Lorsque je vais au cinéma avec des amis, je me souviens souvent autant du film que des discussions précédant ou suivant le film… Tout cela se mélange pour devenir une part de ma vie. Les oeuvres de l’esprit appartiennent à leur public !

La durée du droit d’auteur devrait donc être réduite en conséquence et refléter cette réalité qui est beaucoup plus proche de l’idée que représente la culture et surtout sa diffusion à tous.

Le cas particulier des supports dématérialisés

On consomme de plus en plus d’oeuvres de l’esprit sur supports dématérialisés – c’est l’expression consacrée, et je vous l’accorde elle est plus con que sacrée : un support immatériel… ok !

D’abord la musique avec les MP3 DRMisés puis un peu moins crades, ensuite les films avec la VOD vérrouillée de toutes parts et qui ne décolle toujours pas et maintenant les livres avec le Kindle, l’iPad et autres tablettes moins populaires (non ça ne m’intéresse pas du tout : j’achète encore mes livres en papier !).

Et ce qui devait arriver arriva : le public prend compte de l’obsolescence des supports (matériels pour le coup) que l’industrie essaye toujours de lui refourguer en parallèle d’une offre dématérialisée qui flirt avec le ridicule par des tarifs encore adaptés à l’âge d’or qui a duré quelques années entre le début de la popularisation de ces industries et le début d’un déclin très relatif du, non pas au piratage mais, à la gourmandise des industries en questions toujours prêtes à saigner un peu plus madame Michu !

Mais finalement la vraie question est de savoir si ces oeuvres dématérialisées devraient même être payantes ? Question à laquelle je réponds d’un grand et franc : NON.

J’aime beaucoup l’art au sens large du terme, pendant une époque de ma vie je me rendais chaque fois que possible dans les musées. Malheureusement, les journées font toujours 24h et mon emploi du temps commence à sérieusement penser à un régime slim fast… Toujours est-il que s’il me parait normal de payer mon entrée dans un musée, pour voir les toiles, les sculptures et autres compositions jamais je ne cautionnerai (ni vous d’ailleurs je pense) de payer pour voir une photo de la même oeuvre…

Alors oui les parallèles sont faciles et ne sont pas forcément transposables… Mais en réfléchissant deux minutes au delà du système établi par les majors, quelle est la symbolique de payer un support dématérialisé ? Qu’est-ce que l’on finance ? La création ? Les majors ? (indice, la réponse n’est pas la première proposition).

Les artistes doivent pouvoir vivre de leur art, mais pour autant que je sache c’est possible : le cinéma vit largement des produits dérivés, la musique des représentations physiques et produits dérivés, et les livres de leur ventes physique, des éventuels droits d’adaptation à la télé / ciné…

Je travaille moi même sur plusieurs livres et ai choisi un éditeur qui propose les versions dématérialisées des oeuvres gratuitement… C’est juste logique !

En un mot la consommation de la culture évolue, les supports évoluent, les financements se doivent eux aussi d’évoluer et la chasse aux sorcière doit cesser ! La seule chose que les majors vont réussir à faire c’est de monter les artistes contre leur public, et vice versa…

Je pestais il y a peu contre certaines boards Warez d’où l’esprit communautaire a disparu pour faire place à la loi du profit, RwwFR et PlugnGeek plus récemment pestent, avec raison, contre les entreprises qui proposent des services de Direct download (DDL), les newsgroups sont finalement du même acabit et le P2P va commencer à se raréfier… Alors comment faire pour madame Michu si elle refuse d’accepter la promotion vaseline de l’UGC du coin ? Petit tour d’horizon des solutions de téléchargements de distributions linux.

Le P2P (peer to peer)

Le peer 2 peer représente dans l’idée le système le plus proche de l’utopie : tout le monde est à la fois consommateur et distributeur, sur un pied d’égalité. Un système de quotas est très fréquemment utilisé sur les trackers (plateforme centralisatrices des échanges) améliorant les vitesses de téléchargement en fonction de la quantité partagée par l’utilisateur ce qui pousse effectivement au partage.

Cette méthode de téléchargement laisse des traces, beaucoup de traces, puisque votre IP apparaît régulièrement en clair pour établir des échanges avec les autres téléchargeurs / partageurs.

C’est aussi pour le moment la seule technologie qui est surveillée par l’Hadopi… Ceci n’ayant aucun rapport avec le fait qu’elle soit la plus transparente et donc la plus simple à fliquer.

Il est possible d’être accusé de téléchargement illégal via le P2P même si vous ne téléchargez pas « grâce » à des outils comme SeedFuck qui injectent de fausses IP sur le tracker, faisant croire à la présence d’un utilisateur qui n’est en fait pas là.

Le Direct Download et le streaming

Devant les risques que représente le P2P, les utilisateurs avertis se sont tournés vers un autre type de téléchargement : le direct download (ou le streaming). Le fichier est hébergé sur un serveur lui même fourni par un des acteurs du marché (Megaupload, Rapidshare, Hotfiles, …) et vous y accédez directement soit pour le télécharger, soit pour le visualiser sans même le télécharger (dans le cas du streaming).

Là encore il y a quelques traces qui sont laissées de ci de là avec notamment un log pour les comptes premium qui permet au fournisseur du service de vérifier que vous ne dépassez pas les quotas qu’il a fixé et surtout que plusieurs IP ne se partagent pas le même compte (sinon c’est trop facile !).

Pour le moment, et à ma connaissance, rien n’est prévu pour contrer ce type de téléchargement. Régulièrement des majors du divertissement leur intentent des procès qu’ils gagnent parfois et perdent souvent, les plateformes de direct download et de streaming se réfugiant derrière leur statut de prestataire technique n’ayant aucun moyen de contrôle sur le contenu déposé par les utilisateurs.

Le risque de ces plateforme, à moyen terme, est de les voir se faire racheter par les majors qui auront à leur service une infrastructure solide et robuste pour diffuser leurs œuvres à leurs conditions mais aussi une base de données d’ancien clients qu’ils n’auront plus qu’à aller cueillir…

Accessoirement, et c’est probablement le pire dans tout cela, on n’a plus affaire à des passionnés désireux de partager la culture mais à des businessmans profitant de l’inadéquation de l’offre et de la demande pour proposer une offre beaucoup plus intéressante, pour l’utilisateur et surtout pour eux. Reste que les artistes sont lésés dans l’histoire et que ce n’est pas ce que les (vrais) pirates souhaitent au final !

Les newsgroups

Les newsgroups sont un peu plus confidentiels et, pour être tout à fait honnête, je ne m’en suis servi que très rarement. C’est un peu l’ancêtre du direct download : vous payez là aussi pour de la bande passante mais l’utilisation originale des newsgroups a un côté communautaire qui se rapproche de celui du P2P.

Là encore, Hadopi ne pourra rien contre vous (je doute même que certains en aient entendu parler)…

Et là encore le côté financier de tout cela me laisse un peu dubitatif quand au réel motif derrière la création d’un tel réseau.Cela coûte certes très cher de mettre en place de type de structures et de les maintenir, mais je serai curieux de voir les résultats de ces entreprises…

Si toutefois vous voulez tester le service de Usenet, l’un des leaders du marché, vous pouvez bénéficier de 30 jours gratuits pour le faire.

La solution sécurisation et anonymisation

En nous « interdisant » le P2P, la loi Hadopi (et ses petites soeurs) s’attaque directement à un idéal que l’on ne peut pas vraiment retrouver dans les autres solutions actuellement disponibles. Alors oui il est toujours possible de télécharger les derniers blockbusters d’Holywood sans se faire repérer par la haute autorité de l’obsolescence, mais cela se fait au prix de notre liberté de partager et pire encore : au profit d’entreprises et d’individus attirés et motivés uniquement par le profit qu’un marché souterrain engendre au dépend des artistes.

Pour rappel, le P2P que le legislateur s’attèle à interdire depuis des années, ne coûte rien aux artistes et ne leur fait pas perdre d’argent non plus – mais surtout, il ne fait pas gagner d’argent à qui que ce soit là où le ddl, le streaming ou les newsgroups engraissent des sociétés dont le coeur de métier est de profiter du téléchargement illégal. En un mot : laissez les consommateurs consommer et traquez les industriels qui font du téléchargement illégal un commerce.

Mais bon, il est toujours plus simple d’assigner madame Michu en procès parce qu’elle a téléchargé le dernier Christophe Maé (si on m’avait dit que j’allais écrire ce nom là sur mon blog un jour !) que de s’attaquer à une multinationale dont une part considérable du budget annuel est dédiée à sa défense devant les tribunaux…

La solution pour nous autre pauvres culture-addicts réside donc dans les moyens d’anonymisation de notre connexion couplés à un bon logiciel de P2P Peerguardian activé. Tor, VPN anonymes (OpenVPN et pas PPTP s’il vous plait) nous voici !

Les 215 projectionnistes de France et les quelques personnes qui ont entendu parler de leur mouvement de grève sont au courant : la profession est en train de disparaitre pour laisser place au tout numérique. Au delà de la tragique question du replacement de ces employés sacrifiés (à raison) sur l’autel du progrès, ce changement pose un gros soucis économique qui va encore un peu plus taper dans le porte-monnaie des cinéphiles…

La logique voudrait que le passage au numérique (il était temps quand même non ?) entraine une réduction du coût des places : la technologie de projection étant plus simple à produire, les supports plus simples à transporter, coût de fabrication d’un Blu Ray Disc bien inférieur à celui d’une bobine (une fois la presse calibrée), l’investissement se faisant sur le long terme, … Il n’en sera rien !

En effet les supports numériques sont bien plus simples à contrefaire que nos chères bobines de 35mm et le passage au tout numérique va devoir s’adjoindre d’un renforcement de la sécurité des précieux films.

C’est un problème auquel les majors du cinéma ont répondu d’une façon plutôt brutale pour éviter les risques de fuites liés à la distribution en avant première des films à la presse par un watermark souvent très visible et incrusté sur l’image du DVD envoyé à chaque journaliste – souvent ce watermark incluait le nom et la rédaction dudit journaliste…

Mais là on ne peut pas vraiment se permettre de jouer au même jeu en salle obscure : qui irait encore voir des films si le nom du cinéma était en plein milieu de l’image… (C’est déjà assez chiant sur les divx ^^)

Aussi il va falloir renforcer la sécurité des supports sur leur trajet et penser un système anti-copie, avec toutes les failles que l’on sait déjà que cela représente (DRM si tu nous entends : LOL).

Dans la foulée, les technologies de copie des films étant à la portée de tous lorsque l’on parle de copier du numérique vers le numérique, le personnel des cinémas vivra sous une surveillance permanente des majors. On peut assez facilement imaginer (puisque ça se fait déjà sur l’analogique) un marquage unique de chaque support permettant d’identifier le cinéma d’où est issu la copie d’un film.

Dans la lutte anti-piratage c’est donc encore le consommateur final qui va devoir mettre la main au porte-monnaie pour engraisser un peu plus encore les majors qui eux vont diminuer leurs coûts de fabrication…

Dans tous les débats qui opposent ayants droits et amoureux de la culture (ils vont aimer le parallèle, mais finalement on en est là) il est quelque chose dont on ne parle pas assez à mon goût : la neutralité du net. La neutralité du net (et des réseaux en général) est cette idée folle selon laquelle tout le monde aurait accès aux mêmes contenus qui qu’il soit et quel qu’ils soient (le tout le monde et les contenus).

Je vais essayer aujourd’hui de défendre cette neutralité d’une façon que je n’ai encore jamais vu ailleurs : simplement en démontrant que ce droit est logique dans le système actuel.

Pour commencer et pour faire simple, nous vivons en démocratie – ce mot veut littéralement dire « le pouvoir par le peuple » – hors Internet est un outil qui n’a d’utilité que si le peuple y contribue. Internet est la somme de ce que chacun de nous fait sur les différents réseaux. Bref en un mot Internet est l’expression même du peuple. Partant de là, et même s’il n’y a pas de pouvoir exécutif rattaché spécifiquement à Internet ou de représentants élus, Internet est en soit une démocratie internationale auto-régulée.

Et pour autant que je sache, dans une démocratie la liberté d’expression et le droit à l’information sont des droits fondamentaux. Ces droits sont bien entendu encadrés par des devoirs, mais aucun de ces devoirs n’est de se conformer à une quelconque forme de censure…

Ces derniers temps il est question de censurer Internet à la Chinoise d’abord avec la Loppsi, puis avec l’ACTA…

Seront censurés les sites de pédopornographie (hmm ok admettons, même si on sait très bien que ce genre de sites n’existent pas sur Internet mais sur des sous-réseaux inaccessibles au grand public), les sites de paris en ligne qui ne payent pas une licence à l’état (là ça devient très grave et inadmissible, mais admettons encore), les sites de téléchargement illégaux ou les sites incitant à la haine (je prends un peu d’avance, mais faites moi confiance ça arrive), et bien d’autres choses : il n’y a qu’à voir l’exemple Australien pour se rendre compte de la dangerosité de mettre en place un filtrage opaque tel que celui qui est prévu par la Loppsi…

Mais au delà de la dangerosité inhérente à ces délires de contrôle des réseaux, ce qui me gêne c’est qu’à part les sites de paris en ligne, tous les autres sites susceptibles de tomber sous la censure peuvent déjà être mis hors ligne de façon beaucoup plus simple que par un filtrage : par une requête à l’hébergeur !

Là où le filtrage va nécessiter des infrastructure colossales (plus encore si le DPI est au programme, et si ce n’est pas le cas il est juste [encore un peu plus] inutile) qui vont coûter une blinde, un simple coup de fil à l’hébergeur (qu’on peut connaître via un simple Whois) de la part d’une autorité administrative (là pour le coup c’est justifié) et le site tombe en moins de 48h dans 100% des cas (vous gagnez à chaque fois, c’est pas formidable madame Michu ?!)

De plus censurer un site en le rendant inaccessible depuis un pays donné (la France donc dans notre cas) par un filtrage sur les DNS n’est qu’un pansement sur une jambe de bois : ce type de filtrage est d’une simplicité affligeante à contourner et s’il devait être mis en place nul doute que les aficionados de paris en ligne (pour prendre les moins pire de la liste précédemment citée) ne mettront pas longtemps à trouver d’autres sites expliquant comment contourner ce filtrage. Et qu’arrivera-t-il alors ? ces sites seront-ils censurés à leur tour ?

Enfin je vais conclure en ouvrant sur une question que je me pose : hier, la Finlande a fait de l’accès à Internet un droit fondamental, bientôt (probablement) ce droit sera lui aussi garanti par d’autres pays en Europe… Mais pour rester dans un futur plus concret : si demain Internet Français se met à rimer avec Internet Chinois, quel sera le traitement infligé aux résidents Finlandais en voyage en France, ou aux résidents Français ressortissants Finlandais ? Peut-on moralement priver quelqu’un d’un droit fondamental accordé dans le pays dont il est ressortissant au sein même de l’UE ?

Ce n’est un secret pour personne Hadopi prévoit de punir plus de monde pour la négligeance caractérisée [de sécuriser son accès internet] que pour de réels faits de contrefaçon. Mais cette notion n’existant pas encore (à ma connaissance) il a fallu légiférer et caractériser cette négligence caractérisée…

C’est chose faite depuis la publication le 25 juin 2010 du décret n°2010-695 « instituant une contravention de négligence caractérisée protégeant la propriété littéraire et artistique sur internet »…

Sauf que loin de me tenter de sécuriser mon wifi (par ailleurs jusque là protégé par une clef WPA toute bête), ce texte, que j’attendais avec impatience, me pousse à avoir une réaction toute autre : ouvrir mon wifi à mes voisins !

Pourquoi Hadopi me pousse au partage

Pour mieux comprendre voici la phrase sur laquelle je base ma démarche :

« Art. R. 335-5. – I. ― Constitue une négligence caractérisée, punie de l’amende prévue pour les contraventions de la cinquième classe, le fait, sans motif légitime, pour la personne titulaire d’un accès à des services de communication au public en ligne, lorsque se trouvent réunies les conditions prévues au II. »

La partie importante de cet article est la partie que j’ai mise en gras : « sans motif légitime ». Cette notion est très vague et laisse libre cours à pas mal d’interprétations. En effet, il n’est pas précisé qui apprécie si un motif est légitime ou pas ? Le présumé coupable ou la justice ?

La logique française voudrait que la réponse à cette question soit : la justice sur les bases de la défense dudit accusé (présumé coupable donc depuis l’Hadopi). Dans la pratique on attendra de voir comment les premiers procès (si ils finissent par réussir à envoyer les premiers mails) se passeront…

Toujours est-il que ma défense, et en l’occurrence plutôt mon argumentation vu que la présomption de culpabilité n’est pas encore en place, est la suivante :

• Le droit à l’information, en 2010 est un droit fondamental pour tous.
• Internet, toujours en 2010, est un outil de communication formidable regorgeant justement de sources d’information.
• Cet accès peut malheureusement être entravé pour des raisons techniques indépendantes de la volonté d’un abonné (Hadopi par exemple).
• Tout le monde ne peut pas payer 30€/mois pour avoir accès à Internet.
• Je considère le partage, en règle générale, comme quelque chose de naturel et humain qu’il faut encourager.

Bref en un mot : je crois en la création de points d’accès libres à Internet et, partant de cette croyance, prends les devants en ouvrant le mien à ceux qui peuvent le capter (mes voisins donc en l’occurrence). Il s’agit bien là d’un motif et, selon moi, d’un motif tout à fait légitime puisqu’il s’agit d’aller dans le sens de ce à quoi je crois et de ce que je promeus : un accès à la culture et à l’information pour tous !

Les précautions à prendre

J’ai néanmoins pris quelques précautions pour éviter tout désagrément lié au partage des tuyaux par lesquels transitent quelques informations confidentielles (mots de passe, conversations électroniques, …).

Pour commencer j’ai installé openvpn sur mes ordinateurs qui n’en n’étaient pas encore équipés et les ai tous configurés pour qu’ils s’y connectent d’office. Le résultat est simple : toutes les communications émanant de mes postes sont cryptées et, mêmes si elles venaient à être interceptées, illisibles. De plus, je me défait au passage de l’adresse IP de mon FAI qui ne sera plus utilisée que par mes voisins. A cet effet j’ai aussi désactivé le wifi sur mon téléphone qui se contentera d’une connexion 3G / Edge – c’est pour la bonne cause !

J’ai lancé un petit nmap sur tous mes postes pour vérifier que rien n’était ouvert par mégarde et empêché l’accès à mes répertoires de dev apache par un simple deny bien réglé (Google pour ça !)

Enfin, j’ai aussi remplacé le mot de passe sur un de mes laptops sur lequel il était beaucoup trop simple… Les mots de passe de mes partages samba sont de toutes façons bien sécurisés…

Comment s’y prendre

Malheureusement Free n’autorise plus la configuration de son point d’accès sans clef d’authentification, j’ai donc indiqué la clef dans le SSID !

J’espère que c’est assez clair et que cela rendra service.

Il va de soit que je vais surveiller un peu ce qui se passe sur mon réseau et s’il s’avère que certains se servent de ma connexion pour faire de vilaines choses (P2P & co), je sévirai comme il se doit Je vais par contre éviter de rentrer dans un délire de surveillance du trafic : je ne suis pas Hadopi et j’emmerde le DPI ! Je n’interviendrai que si je me rends compte que de gros débits sont enregistrés…

Je vous encourage par ailleurs à avoir la même démarche et à démontrer que nos idées sont plus fortes que leurs lois débiles et dangereuses.

Il est par contre bon de savoir que l’on s’expose à une amende de classe 5 en faisant cela et que ce n’est pas rien : 1500€ + casier + passage devant un juge + confiscation de l’objet du délit. Jusque là ces amendes étaient réservées aux violences ayant provoqué une ITT de 8 jours ou plus et aux chauffards récidivistes…

Loin de moi l’envie de remettre le couvert sur toute l’affaire qui a fait un peu de bruit il y a quelques jours de cela à propos de Wawa-mania et de la création de l’Atild (Association pour le Téléchargement sur Internet et la Libre Diffusion) mais là c’est juste un peu trop fort pour que je reste à regarder ça sans pousser mon petit coup de gueule perso…

On a tous vu hier une magnifique vidéo de propagande que même TF1 n’aurait pas osé utiliser pour meubler du temps de cerveau disponible. Je ne vous la met pas ici, elle me rend physiquement malade tant elle est emplie de mauvaise foi et de clichés tous plus gros les uns que les autres…

Chacun y est allé de sa petite réaction, souvent outré, parfois amusant mais toujours fondamentalement correct… Et puis est arrivée, via twitter, la réaction de l’Atild… Sans aucune espèce de procès ils demandent un Google Bombing de France 5 (alors que l’on ne sait pas à ce moment là d’où vient la fameuse vidéo).

Le procédé en lui même est aussi simple qu’inutile : il s’agit de faire apparaître un site dans les résultats de recherche de Google sur une certaine requête en multipliant le nombre de liens contenant l’ancre souhaitée et pointant vers ledit site.

Le terme choisi par l’Atild est lui aussi bien ridicule : « Enfants soldats »…

Si l’on ne peut qu’acquiescer au fait que l’instrumentalisation des enfants est un acte détestable, choisir ce terme pour un Google Bombing est très légèrement déplacé. Et au delà des limites imposées par l’éthique, le terme en question génère à l’heure où j’écris ces lignes 1.120.000 résultats… Autant dire que se placer rapidement (comme c’est le but d’un Google Bombing) est impossible sur cette expression !

Sur la sémantique du lien en lui même, ils proposent de placer le terme à la fois dans le texte du lien et dans la balise alt de celui-ci… Bon alors là on va faire court : Interface HTMLAnchorElement – en passant j’avais déjà gueulé à l’époque de leur précédent Google Bombing tout aussi bien pensé et efficace : la balise alt d’un lien ça n’existe pas, c’est title le mot que vous cherchez !

Enfin sur la forme du Google Bombing en lui même : l’Atild a placé un lien (à côté d’un autre visant à se placer sur la requête Anonymous France, les concernés apprécieront !) de couleur grise (#e0e0e0) sur fond blanc (#ffffff) afin que celui-ci soit le moins visible possible pour l’utilisateur… La bonne nouvelle c’est que Google détecte ce type de comportement depuis plusieurs années déjà et sandbox les sites qui s’y risquent… Bon courage pour bomber qui que ce soit depuis la sandbox !

Résultat des courses, après une discussion avec Ecrans.fr, France 5 a retiré la vidéo… Et devinez quoi ? L’Atild s’en félicite comme si, en moins de 20 heures et avec le Google Bombing le plus mal organisé de l’histoire ils avaient influencé qui que ce soit…

En un mot : plus on est nombreux à lutter contre les lois qui visent à restreindre nos libertés et mieux c’est… Mais si c’est pour faire n’importe quoi, s’en féliciter après et n’avoir gagné que le fait de jeter le discrédit sur un dialogue que d’autres ont mis des années à établir on s’en passera !

J’ai reçu un mail hier soir (23h10, ils ne dorment jamais !) pour me demander de changer le nom de ma dernière extension Firefox afin qu’elle soit plus « family friendly » sous peine de la voir supprimée du site de Mozilla…

Dans la mesure où c’est tout de même un moyen formidable de fournir des mises à jour et de faire connaitre l’extension à tous je m’y suis conformé et ai renommé IPFuck en IPFlood (credits to @twikito) sur AMO.

Ce changement est en effet limité à AMO, le site ipfuck.p4ul.info reste en ligne et si j’ai bien créé un alias ipflood.p4ul.info, il redirige sur le site déjà en place – de même la page de l’extension ne change pas.

Et puisqu’apparemment je suis un mec vulgaire je vais ajouter : « non mais faut pas me faire chier merde ! »

Et quand je dis 2.0 c’est surtout le zéro qu’il faut retenir ! Mais pour mieux comprendre de quoi je parle ici un bref retour sur les évènements de ces derniers jours s’impose !

Vendredi dernier, Orange, FAI historique que je ne vous présente pas (si si, il y a Internet et Internet…), prenait les devants sur l’Hadopi pour sortir un superbe logiciel dit de « contrôle du téléchargement ».

Pour quoi est prévu le soft ?

A l’origine, le logiciel est censé interdire tout échange sur les réseaux P2P en contrôlant les logiciels qui ont le droit de s’exécuter sur la machine sur laquelle il est installé. Au lancement d’un logiciel, une signature unique est comparée à une base de logiciels interdits. Si le logiciel est un vilain client P2P blacklisté par Hadopi Orange, il ne se lancera tout bêtement pas.

Jusque là tout va bien (enfin il est grave d’assimiler les échanges P2P aux échanges illégaux, mais dans la logique Orange pourquoi pas).

Le logiciel conserve bien sûr un journal permettant de dire à quel moment il est lancé afin que l’on puisse attester de son innocence en cas de relevé de son adresse IP sur les réseaux P2P à une date précise.

Je soulevais déjà à la sortie du logiciel quelques réserves (euphémisme inside) quand à l’utilité du truc…

Pour quoi n’est-il pas prévu ?

Mais très vite les choses se gâtent avec les investigations de Bluetouff (qui signe un retour en beauté) et fo0_ (qui n’est jamais vraiment parti) qui vont mettre à jour un certain nombre de failles dans le logiciel Orange…

D’abord, même lorsque le logiciel est arrêté ou tué il reste accroché à l’explorer et continue d’écrire dans le fichier de log. A vrai dire c’est le type de comportements que l’on trouve chez certains virus / trojans… Et je sais pas vous, mais quand je ferme un soft, en général il y a une raison à ça : je veux le voir fermé !

Ensuite, et malgré les déclarations d’Orange niant tout rapport entre son logiciel et la Haute Autorité, il est retrouvé dans les décompilations du logiciel des mentions de l’Hadopi… Ainsi qu’un chemin absolu vers le répertoire de dev d’un certain jbroutin (si tu me lis, bonjour et bravo ).

Mais surtout : le logiciel communique de façon régulière avec un servlet accessible sur internet (195.146.235.67 si ma mémoire est bonne – flemme de vérifier !). Et, non content de faire passer ces échanges en clair, le serveur lui aussi est accessible à tous.

Et, toujours plus grave, une page (exportable notamment en XML) permet de voir les adresses IP qui se connectent au serveur – soit via le logiciel, soit directement en HTTP… Ladite page est restée en ligne de sa découverte au lendemain dans la journée… Ce qui a permis à quelques méchants pirates de récupérer une liste d’adresses IP qui seront probablement les premières injectées dans SeedFuck pour être relevées par TMG… Ironie !

Comme si cela ne suffisait pas, il s’avère que l’accès à la web-console Jboss (la technologie utilisée sur le serveur) est toujours « protégée » par le couple login / mot de passe par défaut – à savoir : admin / admin… L’accès à cette console permet d’administrer le serveur et donc, notamment, la portion de code que le logiciel vient chercher en se connectant. Il était donc possible d’y injecter un malware qui aurait contaminé tous les clients Orange se croyant protégés par ce soft !

Mais les découvertes les plus étonnantes nous viennent d’un dénommé « cult of the dead hadopi » (dont le pseudo me rend la personne très sympathique) qui va découvrir pèle-mêle et sans tout citer que le logiciel est composé de deux parties, une exécutée par l’utilisateur courant, l’autre par l’administrateur et que la communication entre ces deux parties n’est pas sécurisée – ce qui permettrait à un logiciel tiers de passer les ordres de son choix à une partie du logiciel considérée comme systeme et qui a, par conséquent, tous les droits sur l’ordinateur.

De même, aucune des portions de code transmises depuis le serveur vers le client n’est signée de quelque façon que ce soit – autorisant n’importe qui à y injecter le code de son choix, qui sera par la suite exécuté par le logiciel Orange et par le système comme du code légitime. Plutôt critique quand on repense à l’épisode « admin/admin »…

Plus récemment notre (très) cher « cult of the dead hadopi » a découvert que si le mot de passe nécessaire à l’accès au logiciel était bien stocké de façon hashé, la question secrète et sa réponse étaient en fait cryptées selon un algorithme qu’il s’est proposé de renverser… Avec succès.

Et du coup ?

Devant un tel tollé, aussi bien technique que médiatique (la presse du monde entier s’est fait l’écho de la mésaventure), Orange vient de supprimer la souscription à son option en remplaçant le bouton « commander » par un texte qui nous donnera à tous un petit sourire : « suspension de la commercialisation de l’option »…

Ce qu’il faut retenir de tout cela est avant tout qu’en ajoutant ce type d’intermédiaire, on n’est pas à l’abri d’ajouter des failles de sécurité dont personne n’a besoin – alors quand en plus le logiciel est codé avec les pieds en VB et en 20mn ça n’aide pas…

Mais surtout, que si l’état, pour des raisons illégitimes, essaye de priver les citoyens de leur liberté en leur imposant des « solutions » techniques défaillantes, il y aura toujours 5 gus dans un garage pour essayer de le contrecarrer, et il vaudrait mieux assurer sur le côté sécurité, parce que les gus en question aiment pas trop l’idée de payer pour installer des rootkits !

Je suis obligé de commencer ce billet par un bruyant, long et puissant : MDR !

En parcourant les commentaires de cet article sur Numerama j’ai pu découvrir que nos amis de chez Orange / FT / suicide-land proposaient une option de sécurisation de la ligne pour être en conformité avec Hadopi.

Très intrigué par la solution proposée par Orange pour résoudre un problème qui, par essence, est insolvable j’ai cliqué et regardé la fiche descriptive de l’option « Contrôle du téléchargement » (déjà on peut rajouter un lol au MDR qui a ouvert cet article).

Et là c’est de pire en pire !

Le logiciel, dont on ne sait rien et pour lequel aucune capture d’écran n’est disponible propose la sécurisation de 3 ordinateurs (suffisant pour madame Michu sous réserve qu’elle n’ait pas 3 ados geeks + un PC familial – passons…) contre le peer-2-peer (ça y est on a perdu madame Michu !).

Toujours très intrigué j’entreprends de télécharger, dans ma grande rigueur d’investigation, les conditions générales d’utilisation… Pour tomber sur un PDF concernant l’option nom de domaine…

Bien entendu ce superbe logiciel est compatible Windows et… ah bah non !

Donc si on résume on a : un logiciel fantôme, qui fait dieu seul sait quoi et qui ne fonctionne que sous Windows. Heureusement que ce n’est pas cher et que les abonnés Orange ont l’habitude de se voir proposer des quantités d’options inutiles parce que là ça frise le foutage de gueule !

Et, cerise sur le gâteau, ce logiciel sortant avant que les spécifications officielles paraissent (si tant est qu’elles paraissent un jour) n’aura aucune valeur devant un tribunal en cas d’utilisation de votre ligne par un tiers pour télécharger le dernier High School Musical !

Dimanche soir je lançais IPFuck, une extension firefox d’HTTP poisoning. Le concept étant assez technique et surtout très abstrait je m’attendais à ce que certains aient du mal à en saisir l’intérêt voire que d’autres comprennent complètement de travers le but de cette extension. J’ai donc surveillé (autant que possible) ce qui s’est dit un peu partout sur la toile et il s’avère que j’avais raison d’avoir peur…

Je me dois donc de revenir ici sur le fonctionnement et le principe d’IPFuck en répondant aux interrogations que j’ai le plus souvent relevé. J’en oublie surement, mais ces points là sont fondamentaux et doivent être traités maintenant (si bien que j’ai sauté ma pause repas et suis en train de bouffer un sandwich devant l’admin de WordPress pour ça ^^).

C’est dégueulasse, ça va faire accuser des innocents

Oui, mais non : effectivement si la justice s’entête à considérer l’adresse IP comme une information nominative il va y avoir un certain nombre de faux positifs. Mais ce que je fais là, de façon automatisée, est faisable depuis des années avec un niveau en informatique très relatif. J’ai juste accéléré le process en l’automatisant , les faux positifs existent depuis que l’IP existe et sont une vraie plaie compte tenu du caractère sacro-saint donné à l’IP par la justice.

C’est justement pour faire sauter cette idée selon laquelle l’IP est une information sûre que j’ai créé IPFuck… Pour que la justice prenne conscience du fait que l’IP est un indice et non une preuve !

Je peux pas télécharger deux fichiers à la fois sur Rapidshare

Sans déconner ? Une plateforme qui gagne des millions en louant de la BP à des ados en manque de p0rn a mis en place des systèmes de sécurité un peu plus évolués que ceux que l’on peut contourner avec une extension firefox de 13ko ? Zut alors !

Plus sérieusement : ce n’est pas le but d’IPFuck que de vous faire économiser 17€ tous les trimestres… Et oui un certain nombre de sites et services se basent encore sur l’adresse IP telle que transmise par la couche de transport du réseau. La bonne nouvelle c’est que la protection de ces sites là peut être bypassée par l’utilisation d’un vrai proxy qui n’en n’aura que faire des adresses IP envoyées sur la couche application du réseau et qui pourtant (jusqu’à IPFuck et à part dans de très rares cas jusque là) contient la réelle adresse IP du visiteur.

IPFuck nous met à l’abri d’Hadopi

Faux, faux, faux et archi faux ! Personne n’est à l’abri d’Hadopi ! que vous téléchargiez ou non ! La encore c’est ce que j’essaye de prouver avec IPFuck et ce qui a déjà été prouvé avec SeedFuck que je ne trouvais pas assez « grand-public » pour que le message passe bien.

La quantité de faux positifs (là encore) va être phénoménale et les relevés d’IP truffés d’adresses dont les propriétaires ne savent même pas ce qu’est le P2P.

Pour revenir sur IPFuck : il agit uniquement sur les flux HTTP qui passent par firefox. Rappelons qu’Hadopi ne surveillera (dans un premier temps) que le P2P… Alors à moins que l’on me présente un logiciel de P2P qui passe en HTTP via Firefox je ne vois pas comment IPFuck pourrait nous sauver d’Hadopi.

IPFuck envoie 3 paquets supplémentaires

Techniquement faisable, concept intéressant même… Mais non ce n’est pas ce qui se passe ^^ Ce qu’IPFuck fait c’est qu’il ajoute aux paquets envoyés 3 adresses IP dans des entêtes habituellement réservées à contenir l’adresse IP réelle de quelqu’un qui utilise un proxy.

Le service web que l’on consulte va donc détecter que l’on est derrière un proxy et essayer de savoir qui est réellement derrière ce proxy en allant lire les fausses IP qu’IPFuck a ajouté aux paquets.

IPFuck rend anonyme

Toujours pas (en même temps c’est le principe de cet article) : l’utilisation massive d’IPFuck combinée à la présence déjà massive d’utilisateurs de proxy va rendre très difficile la distinction entre une personne effectivement derrière un proxy et un utilisateur d’IPFuck. Et donc leur identification. Mais il y a toujours, en examinant au cas par cas, moyen de retracer quelqu’un qu’il utilise un proxy ou IPFuck.

Cette vérification systématique n’est que très rarement effectuée et cela est regrettable : Hadopi notamment se base sur un relevé des IP (par une société privée *sic*) qui seront ensuite transmises aux FAI pour identification… Si l’adresse en question a été usurpée c’est quand même le réel propriétaire de l’adresse qui va être inquiété…

Mais alors ça sert à rien

C’est encore l’aberration la moins aberrante que j’ai lu à propos d’IPFuck. Techniquement cela n’impacte en rien votre connexion.

Pour le service web que vous visitez (site internet, application, …) par contre cela rend très difficile l’identification rapide. Après enquête il sera assez vite déterminé que votre IP réelle n’est pas un proxy et vous pourrez donc être inquiété si vous avez utilisé IPFuck, persuadé d’être anonyme, pour commettre un cyberdélit quelconque…

Par contre vous pouvez utiliser IPFuck, en le réglant sur une plage d’IP américaine par exemple, pour visionner du contenu réservé aux résidents des Etats-Unis…

Petit test pour le fun : paramètrez IPFuck pour choisir une IP qui commence par 68 et allez sur le site officiel de South Park voir les épisodes (« Full episodes »). Désactivez IPFuck et rafraichissez la page ?

Un autre test ? : laissez la plage IP entre 0.0.0.0 et 255.255.255.255 et allez sur ce site : http://geotool.flagfox.net/ A chaque rafraichissement vous êtes citoyen d’un nouveau pays !

Ce qu’il faut en retenir

Encore une fois le message à faire passer ici tient en une phrase, et il s’adresse (ça en fait des adresses en un article) directement à tout ceux qui basent des lois sur des relevés d’IP : ne faites pas confiance à une adresse IP !