Archives mensuelles : octobre 2010

Le filtrage pour soigner la culture (française)

Je suis quelqu’un de curieux, qui s’intéresse à tout et à tout le monde… Du coup quand on me dit qu’il se tient une table ronde sur la neutralité du Net au sénat je me dis « cool je vais apprendre des choses, n’importe qui n’est pas invité au Sénat pour prendre la parole »… Je suis aussi souvent déçu du résultat de ma curiosité…

Hier étaient présents à cette table ronde, des politiques, des entreprises privées, des majors, des entreprises privées, des majors, … En gros tout le monde était là pour défendre son bout de gras ! Et là, même si le débat est complètement biaisé et perd toute sa substance, on apprend des choses !

Ce que plusieurs intervenants (dont je tairai le nom (parce que je m’en souviens plus)) sont arrivés à proposer c’est de faire en sorte qu’Internet serve de géniale position marketing pour promouvoir la culture Franco-Française…

Liberté : plus trop, Egalité : plus du tout, Fraternité : oui mais entre nous !

L’idée est de dire que l’influence américaine est trop importante actuellement, que nulle part ailleurs les productions locales ne rencontrent si peu de succès, et qu’il faut donc remédier à cela. Deux solutions à cela : occulter (ou du moins déclasser) les productions étrangères, ou mettre en avant les productions françaises…

Et ces gens nous proposent cela sans même rougir !

Et là je vous demande à quel moment, dans un système qui fonctionne à l’étranger, dans un système qui donne sa chance à tous, des gens peuvent en arriver à décider de telles pratiques ? Sont-ils tellement obsédés par le profit qu’ils en oublient que si ça fonctionne ailleurs, comme il le disent eux même, ce n’est pas le système qui est en cause mais le contenu !

Seules interventions réellement intéressantes donc : le recadrage final de NKM qui n’aime pas l’idée de neutralité des contenus et l’intervention de quelqu’un de chez Google qui va très calmement expliquer aux majors que pour que leurs contenus soient mis en avant il faut qu’ils soient bons… Tout simplement !

Edit : un compte rendu très complet sur RWWfr

Hadopi dangereuse, les ayants-droits se foutent des artistes

Il y a des journées comme cela qui commencent sur un air qui est pour nous rassurer. En l’occurrence aujourd’hui est un très bon exemple de cela ! Dès le matin j’ai pu voir passer sur Twitter deux articles qui m’ont donné confiance en l’avenir…

Cela ne veut pas dire qu’il faut baisser les bras, cela ne veut pas dire que quoi que ce soit est gagné… Cela veut juste dire que l’on progresse et, compte tenu de la situation, chaque petit pas en avant a un goût savoureux de victoire !

Hadopi : dangereuse pour la liberté de la presse !

Le premier article est en fait un sujet diffusé ce matin sur France Info qui met en avant l’aspect le plus dérangeant de la Hadopi (oui ça a été dur de choisir) : le filtrage. Accompagné de Marc Rees (PCInpact), Jérémie Zimmermann (La Quadrature du Net) et d’un représentant de RSF (peur d’écorcher son nom) un journaliste va expliquer calmement et dans des mots que ses auditeurs peuvent entendre (bah oui par rapport à notre discours de barbu technophile ça fait une belle différence) que la Hadopi est réellement dangereuse pour la presse.

C’est un sujet traité un nombre de fois pas possible par ceux qui luttent contre cette lois depuis des années. J’ai moi même écrit un article sur comment contrôler la presse dans un pays imaginaire qui ressemble étrangement à un pays connu pour sa gastronomie et sa déclaration des droits de l’Homme (maintenant c’est plutôt McDo et Hadopi). La diffusion de ce reportage, et de ceux qui pourront suivre, à une audience plus large permettra bientôt de faire prendre conscience aux gens que les enjeux sont bien plus grands qu’un divx et 10 mp3 par jours…

Les artistes se font entuber par les ayants-droits

Je ne sais pas si vous avez remarqué vous aussi mais quand on parle de Hadopi on ne parle presque jamais des artistes… En tout cas du côté du législateur, parce que du côté pirate nous sommes de plus en plus nombreux à nous intéresser à cet aspect du problème. Un article paru dans l’Express résume la situation de plusieurs acteurs qui se sont ligués pour réclamer leur dus aux producteurs qui, depuis des années, exploitent les oeuvres auxquelles ils ont participé sans reverser un centime aux réels artistes (ce n’est pas un art de financer l’art).

Au delà de la situation que l’on ne peut que faire semblant de découvrir (qui n’est pas au courant que la Hadopi, n’a jamais eu pour but de profiter aux artistes ?) ce qui me décontenance littéralement c’est la proposition à l’amiable des ayants-droits qui, sans rougir, ont proposé de reverser 2% des recettes à diviser entre tous les contributeurs d’une oeuvre… Venant de ceux qui disent défendre les intérêts de ces personnes et sachant que l’on parle là d’oeuvres déjà rentabilisées de longue date, je trouve la manoeuvre osée… Pas vous ?

Là encore ceux que l’on appelle les pirates ont une considération plus grande pour le monde de la création que ceux qui la financent : nous réclamons un changement dans le mode de financement qui permette au public et aux artistes de profiter des oeuvres que notre riche culture nous permet de toucher du doigt là où les ayants-droits en place ne se soucient plus que de leurs bénéfices, oubliant au passage que la création est à la base un bien universel !

L’extranet de TMG aussi est vulnérable au XSS

Bon c’est pas que j’ai l’impression de me répéter mais après avoir découvert une faille XSS sur Hadopi.fr je pensais qu’ils feraient le nécessaire auprès des autres prestataires au service de cette loi, à commencer par celui qui manipule toutes les informations sensibles : la fameuse police privée TMG.

Le truc drôle c’est que même si j’espérai que hadopi.fr et les 40 sites gouvernementaux vulnérables trouvés avec Bluetouff et RootBSD commenceraient à les faire réfléchir sur la pertinence d’un délit de négligence caractérisée ou au moins les pousser à sécuriser un minimum leurs outils (oui parce que bon, donner l’exemple c’est mieux quand on veut « changer les comportements »)… Je n’y ai jamais cru un instant…

Bref ce coup-ci c’est l’interface qui sert aux ayants-droits pour communiquer avec la Hadopi qui présente une vulnérabilité au XSS sur le formulaire de connexion, fièrement suivi d’un logo « Secured by Thawte ». Bah oui la sécurisation c’est pas juste un certificat valide (aka une solution technique), c’est un ensemble de comportements et de précautions à prendre que l’on ne peut pas demander à un simple citoyen de connaitre et de maitriser quand ceux qui mettent en place des sites pour le gouvernement, les Hautes Autorités ou les milices à financement public n’en sont pas capables…

Cette faille permettrait quand même, si j’envoie un lien malicieux à quelqu’un de connecté à l’interface en question (au hasard chez l’Alpa ?), de voler ses cookies et de les envoyer sur un serveur tiers. Partant de là je n’ai plus qu’à recréer le cookie de mon côté pour être connecté à mon tour exactement comme si j’avais eu les informations de connexion…

Comme pour Hadopi.fr l’utilisation de $_REQUEST est une aberration, le filtrage des infos passées ou tout simplement un petit htmlentities aurait pu éviter cela… Ça coute pas plus cher les gars hein !

J’ai bien sur averti qui de droit (Eric Walter sur Twitter et TMG via le formulaire de contact dispo sur leur site) pour qu’ils corrigent… Mais on ne devrait pas trouver ce type de failles sur ce type de sites…

Je vous laisse sur la réflexion suivante : est-il normal de laisser le droit à cette entreprise dont la structure présente pour le coup des signes manifestes de négligence caractérisée le droit de collecter des informations sensibles sur des Internautes qui vont être accusés à leur tour d’être négligents ?

Sur le bordel avec les Anonymous

Ce fut une journée chargée, pas mal de grabuge, des mails d’insulte, des menaces… Ah oui non en fait la routine ! Bon plus sérieusement ça vous dit que je vous explique le fin mot de l’histoire et le pourquoi de mon attaque en règle de ce matin ?

Comme je l’ai déjà dit je n’approuve pas les méthodes des Anonymous sur tout le ramdam des DDOS. Comme je l’ai déjà expliqué aussi cette attitude n’attirera que de mauvaises choses… Bref j’en avais marre de le dire sur mon blog et je voulais pouvoir l’expliquer doucement et calmement à quelqu’un qui écouterai…

Voilà pourquoi et comment j’ai pu discuter un certain temps avec une des personnes impliqué dans les attaques récentes et surtout à lui expliquer en quoi le DDOS d’Hadopi aurait un lien direct avec une implémentation rapide et générale du DPI pour enfin pouvoir réguler cette jungle qu’est Internet…

Je n’ai bien sûr conservé aucune information et tout cela devrait s’arrêter là pour moi. J’ai attiré l’attention de qui de droit, aidé à patcher la faille et expliqué ce que j’avais à expliquer… Et puis franchement ça me fait toujours marrer les mails d’insultes !

Le message est passé, il devrait remonter assez vite et on va pouvoir repasser à un débat sain et constructif sur une loi malsaine et destructive… Mais déjà à l’agonie et qu’il n’est pas nécessaire de renforcer par l’image d’un Internet incontrôlable…

Edit : Bon et bien le message a été supprimé, j’attends des explications… En attendant voici le screen de la page de l’operation Payback avec le lien vers ce document posté sur pastebin

Besoin de vous pour rire un bon coup !

Bon une fois n’est pas coutume je vais faire appel à votre bonté généreuse pour m’aider à rassembler des infos sur un sujet en particulier. En l’occurrence j’aimerai trouver des sites…

Ce matin je me suis amusé avec l’outil de vote des Anonymous et cela m’a permis de découvrir de jolies choses. Aussi j’aimerai continuer l’expérience et essayer d’y voir un peu plus clair sur qui est derrière ces attaques. Il va de soi que je ne divulguerai pas les identités complètes de ces personnes (à moins d’être pris pour cible à mon tour, auquel cas full disclosure)… Je suis juste curieux.

Pour ce faire j’ai besoin de recenser les outils que les Anonymous utilisent pour le moment, sachant que j’ai déjà :

http://leetbaka.com/tpb/
http://tieve.tk/
http://www.insomnious.tk/opvote/index.php
http://piratepad.net/Avsfg9raOt

Dites moi, qu’ai-je manqué ? Et si vous ne savez pas, relayez que l’on ai un paysage complet…

Edit : http://www.paulds.fr/2010/10/sur-le-bordel-avec-les-anonymous/