Blog perso de Paul Da Silva

Il y a quelques jours, alors que je discutais avec un ami Russe qui parle parfaitement l’anglais et l’allemand et qui n’a que de vagues notions de français il m’a dit regretter ne pas pouvoir lire Piratons la démocratie alors que ce livre aurait un intérêt certain en Russie (les élections étant des opérations de communication et les médias muselés).

Depuis j’en ai discuté avec d’autres personnes, à travers le monde, et si j’avais jusque là espéré que la traduction se fasse naturellement j’ai décidé de donner un petit coup de pouce à ce processus en sortant Piratons la démocratie en français et en anglais.

Ainsi le livre existera, dès sa sortie, en deux langues mondialement parlées et lues au lieu d’une seule, favorisant (vu que sous licence libre le permettant) la traduction et le partage des idées au delà de la barrière de la langue.

Le texte est lui presque fini et je vais profiter de ce long week-end pour y apporter la touche finale et lancer la traduction. A cet effet j’hésite encore entre crowdin et pirate pad… Je verrai le moment venu lequel des deux est l’outil le plus adapté mais je travaillerai de façon collaborative et en sollicitant l’aide de tous pour traduire en anglais.

Je me pose la question du titre en anglais. Dois-je le traduire, si oui en quoi, ou le laisser tel quel ?

Geoffrey Dorne qui réalise les premières et quatrièmes de couverture s’est mis au travail ce week-end et a publié sur Twitter un aperçu de ce que sera la couverture de Piratons la démocratie et même si je lui ai fait quelques remarques je suis très content de cet aperçu qui me conforte dans l’idée que Geoffrey est la bonne personne pour illustrer ce projet !

Enfin j’ai proposé à Serge Soudoplatoff, qui parmi les premiers avait compris l’importance de l’Internet dans notre société et qui mieux que quiconque sait faire passer ce message, de préfacer Piratons la démocratie – ce qu’il a accepté.

Au vu du timing je pense que le livre sortira à l’heure, dans les premiers jours de Juillet et j’organiserai un petit apéro ouvert à tous sur les quais de Seine ou sur le pont des arts pour célébrer cela. Je communiquerai une date dès que je serai sur de celle de sortie du livre.

C’est donc beaucoup de travail qui m’attend encore pour quelques semaines mais un beau projet qui commence à poindre le bout de son nez et forcément un énorme contentement pour moi. Je ne saurai jamais assez remercier tout ceux qui m’aident que ce soit par des idées, suggestions, remarques ou financièrement… Merci !

Vous n’êtes pas sans savoir qu’en ce moment se tient l’eG8, grand messe de l’Internet civilisé et que l’on peut résumer (à quelques exceptions près, mais elles sont bien rares) à une sauterie pour entreprenautes contents de défendre leur business (qu’il soit moral ou pas) devant un parterre d’autres entreprenautes, de quelques journalistes et d’une poignée de vrais internautes – le tout organisé par une boite de comm et sponsorisé à outrance par les boites les moins regardantes sur l’éthique…

Dans la mesure où ce machin est un coup dans l’eau de plus je ne suis même pas sûr de vouloir lui consacrer un article digne de ce nom, mon avis sur le sujet est déjà relativement clair en introduction. Je n’ai pas été invité (je ne suis pas encore à la tête d’une boite du CAC40 ou du Fortune500 et même pas dans le classement Forbes; aucune chance !) et je n’ai pas fait la démarche de demander une accréditation pour y aller : si j’avais reçu une invitation je l’aurai probablement déclinée.

Mais forcément il y a quelques personnes que je connais et qui sont présentes sur place (la fameuse poignée de vrais internaute environ) et une anecdote m’a donné envie de sacrifier 15mn de mon temps pour aborder le sujet.

Hier soir je devais prendre un verre avec des amis (Fabrice Epelboin, Khelil Ben Osman et Karim Guellaty) et puis voyant que Guillaume Champeau était des invités de la sauterie pour entreprenautes je lui ai proposé de nous rejoindre. Il était alors en pleine conversation post-dialogue-de-sourd avec Pascal Nègre que j’ai suggéré à Guillaume d’inviter à nous rejoindre aussi pour un verre.

Il a décliné l’invitation ayant autre chose à faire (ce que je peux aisément concevoir vu l’emploi du temps du monsieur) et s’est empressé de rajouter à l’attention de Guillaume « faites attention, comptez bien vos doigts après lui avoir serré la main ». Passons sur le caractère très drôle de cette remarque, c’est déjà la deuxième fois qu’il me fait le coup – la première fois étant quand je l’ai rencontré dans son bureau, qui fait à peu près la taille de mon appartement, et à l’attention de Zazie qui passait par là.

Alors une bonne fois pour toutes monsieur Pascal Nègre, je ne vole rien, je copie ! Et très franchement si quelqu’un prend aux artistes, de nous deux, il me semble que vous avez une longueur d’avance considérable !

De l’ensemble des chansons que je peux avoir sur mes différents supports, il y a peut-être une dizaine de chanson, allez visons large une vingtaine, qui sont à votre catalogue de machines à copyright. Un groupe que j’ai été voir en concert 3 fois et qui a fait l’erreur de signer un album chez vous (le moins bon de leur discographie soit dit en passant) et quelques chansons éparses pour lesquelles je suis prêt à vous signer un chèque (quitte à faire dans le oldies) soit 0.99 x 20 = 19.80€

Mais vous, quand rembourserez vous les artistes que vous exploitez ou la liberté d’expression des français que vous vous acharnez à détruire en pratiquant du lobbyisme accru sur des politiciens qui comprennent Internet comme je sais faire du point de croix ? Ce chèque là je veux bien le voir, là vous pourrez me dire que je suis un voleur si je vous cause un préjudice supérieur avec mes 20€ de musique Universal, que je n’aurai de toutes façons pas achetée, et qui ont fait gagner 6 places de concert (240€) à un groupe !

Ceci est le premier de deux billets sur le nouveau concept de la poste, lancé en partenariat avec la société myID.is et qui vise à certifier des identités sur le Net. Je commence donc logiquement par la fin et vous présente une trouvaille faite en écrivant un papier sur le principe du service…

L’ensemble des contrôles sur les champs de formulaires sont effectués côté client, en javascript. Par conséquent il suffit de désactiver le javascript ou d’intercepter les requêtes pour contourner les protections mises en place par le site. Ainsi vous pouvez tout à fait vous inscrire si vous n’êtes pas dans le 91 (zone d’expérimentation choisie pour le moment) ou utiliser un mot de passe vide, ou un nom comportant des signes interdits, … C’est formidable tout passe !

Petit exemple en image avec une inscription depuis le code postal 94500 refusé initialement, puis qui passe comme… une lettre à la poste ?

Je tente avec le CP 94500 - refusé

J'utilise donc un CP du 91, au hasard 91500

A l'étape suivante je cherche ce 91500 dans le code source

Pour le remplacer par 94500, donc hors 91

Etape validée, la page suivante affiche maintenant 94500...

J’ai pris l’exemple du code postal ici, mais il semble que tout se base sur le même principe… Mots de passe y compris !

Je vais donc commander une e-Carte Bleue pour effectuer des tests (hors de question que je mette mon vrai code là dedans).

Courant de la semaine prochaine je reviens sur le principe en lui-même d’Identic – en attendant je vous conseille la lecture des commentaires (ceux de Charles et de Fabrice sont particulièrement intéressants) du billet de l’ami @Korben sur le sujet : Identic – Vers une véritable certification de l’identité numérique ?

A force de déceler des failles à droite à gauche (je n’en poste que très peu ici finalement par rapport à tout ce que je peux détecter…) ça devait arriver : I got hacked !

Je vais donc en profiter pour vous expliquer comment l’attaquant, @BoiteAWeb, s’y est pris, comment j’ai réagi et corrigé.

Version courte, @BoiteAWeb a utilisé un CSRF présent dans l’extension lightbox2 pour WordPress et injecté un XSS persistant qui mettait en place une iframe de hadopi.fr sur mon blog. Ce site ayant un script empêchant la mise en iframe, toute personne visitant mon blog était automatiquement redirigée vers hadopi.fr – Bien joué l’artiste, j’ai beaucoup ri !

Me supposant connecté à l’administration de mon blog il m’a invité, via Twitter à visiter son site. Sur celui-ci était présent le code suivant :

Pour les plus néophytes d’entre vous, le code créé un formulaire qui va se soumettre tout seul et répondre à la page de configuration de l’extension pour y changer la valeur lightbox_2_theme par la valeur « ><iframe src=http://hadopi.fr height=1500 width=1900></iframe><a a= »

Ceci ayant pour effet de stocker cette valeur comme thème à utiliser dans les options de l’extension on se retrouvait avec le code source suivant (j’ai ajouté des retours à la ligne pour la lisibilité) pour tous les utilisateurs visitant mon blog :

Résultat : une belle iframe Hadopi et une redirection vers le site en question… Oups !

Passé un gros fou-rire j’ai demandé à @BoiteAWeb dans quoi il avait injecté son XSS persistant et vu qu’il n’était plus devant son ordi ai du investiguer moi-même. Ayant constaté qu’il s’agissait d’une redirection javascript je l’ai désactivé et ai regardé la source de mon blog. En cherchant « hadopi.fr » dans le source j’ai rapidement constaté que cela venait de l’extension lightbox2 que j’ai désactivé le temps de la patcher.

Je me suis ensuite penché sur les infos stockées en base de données pour trouver que c’était la variable lightbox_2_theme qui avait été modifiée.

Dans le source de l’extension (qui n’est plus maintenue) j’ai vite compris le problème : il n’y a aucune protection anti-CSRF sur l’administration et la variable de thème est affichée sans aucune vérification ou assainissement.

J’ai donc rajouté les deux comme ceci :

Dans le fichier lightbox2.php, chercher la ligne suivante :

document.write(‘<link rel=\ »stylesheet\ » href=\ »".$lightbox_style. »lightbox.css\ » type=\ »text/css\ » media=\ »screen\ » />’);

Et remplacer par :

document.write(‘<link rel=\ »stylesheet\ » href=\ »".esc_html($lightbox_style). »lightbox.css\ » type=\ »text/css\ » media=\ »screen\ » />’);

Dans le fichier options.php, chercher la ligne suivante :

if (‘process’ == $_POST['stage']){

Et remplacer par :

if (‘process’ == $_POST['stage'] && preg_match(‘`^[a-z ]+$`i’, $_POST['lightbox_2_theme']) && is_dir(get_option(‘lightbox_2_theme_path’).’/’. $_POST['lightbox_2_theme'])) {

Pour être un peu plus complet on peut aussi changer la valeur de $_POST['stage'] par une valeur personnelle et faire de même dans le formulaire. Ainsi pour forger une requête il faudra que l’attaquant connaisse la valeur que vous aurez choisi… Ou essaye par bruteforce par exemple.

Une fois toutes les modifications apportées j’ai réactivé l’extension et remis le thème à White, ce qui a eu pour effet d’enlever le XSS persistant.

Grâce à @BoiteAWeb j’ai maintenant un site un peu plus sécurisé (il va falloir que j’audite le reste des extensions que j’utilise du coup !) et cela a surtout évité qu’une personne moins bien intentionnée s’en prenne à cette vulnérabilité et s’en serve pour commettre des actes de terrorisme numérique !

Je lui dédie donc cet article, un grand merci et, dès qu’il sera publié, je lui enverrai Piratons la démocratie !

Deux billets en une journée c’est rare mais là c’est trop beau pour être vrai… Au hasard de mes lectures je tombe sur la superbe affiche du ministère de la Culture pour la fête de la musique 2011 et forcément… Je ris !

Et puis… Tiens je ne le connais pas ce site, il fonctionne comment, y’a quoi là ? Oh un beau formulaire de recherche… Ne me dîtes pas que…

Et bien si !

Donc le ministère de la Culture lui-même, celui qui a poussé la loi pour la confiance en l’économie numérique qui instaure entre autres joyeusetés le délit de négligence caractérisée, demandant à tous les internautes de s’improviser experts en sécurité (hey me piquez pas mon boulot !) ne respecte pas ses propres prérogatives et est incapable de sécuriser un minimum (mais là c’est vraiment rien hein !) son site ?

Après Hadopi, TMG, Orange, les Vaporware Hadopi, Universal, … Le ministère lui-même… Il faut encore d’autres démos ou quelqu’un va enfin entendre que le délit de négligence caractérisée est une fumisterie caractérisée ?

Juste pour info je peux tout à fait ajouter des liens vers des contenus contrefaits sur le site du ministère et alors qui saura qu’il est en train de télécharger « illégalement » ?

Bon je préviens pas ce coup-ci, il parait que le ministère est abonné au RSS de ce blog !