Archives mensuelles : juin 2011

La Tunisie remet la machine à censurer en place…

S’il y a un jour (hors le départ de Ben Ali) qui m’a marqué dans tous les évènements qui se sont produits depuis que Mohamed Bouazizi s’est donné la mort à Sidi Bouzid, déclenchant les prémisses de ce que l’on pourra plus tard appeler révolution, c’est le jour où le classement RSF a évolué pour supprimer la Tunisie des pays ennemis de l’Internet et la classer parmi les pays sous surveillances.

Dans le même temps la France glissait dans le sens inverse de pays neutre à pays sous surveillance.

Aujourd’hui c’est un coup de canif dans cette dynamique qui avait l’air de condamner la Tunisie à la liberté et la France à de bien sombres desseins. Non pas que la France ait fait quelque progrès que ce soit, non c’est relativement stable de ce côté-ci, mais la Tunisie elle remet peu à peu sa machine à censure en marche…

Aujourd’hui l’ATI (Agence Tunisienne d’Internet), qui s’était portée partie civile contre une décision de justice visant à remettre en place la censure des sites internet pornographiques, s’est fendue d’un communiqué expliquant que le combat était (jusqu’à l’appel prévu le 4 Juillet) perdu et que la censure allait progressivement revenir, au moins sur les sites pornographiques.

Comme nous, français, nous sommes battus contre la censure des sites diffusant des contenus pédopornographiques par la LOPPSI il est bon de se souvenir qu’aucune censure n’est justifiée ou justifiable dans un pays démocratique !

Dans le cas français il est aisé de voir que de tels contenus doivent être supprimés et que les acteurs de cette diffusion doivent être mis hors d’état de poursuivre pareilles activités au lieu d’être simplement cachés aux yeux de nos concitoyens.

Dans le cas tunisien il faut que tous comprennent que la censure d’un pan aussi énorme du Net ne peut entrainer que des dérives volontaires ou non provoquant des cas de censure arbitraire de contenus tout à fait légitimes, même au regard de la prétendue morale dictée par la poignée de décideurs qui condamne aujourd’hui la pornographie.

Des solutions existent pour qui veut « protéger » ses enfants de la pornographie, à commencer par les logiciels de contrôle parental ou, plus vraisemblablement, l’éducation. Mais abandonner un Internet libre à un combat aussi futile que celui-ci me parait être très dommageable.

Cet article a été écrit à la demande d’amis tunisiens, je ne me permettrai pas de remettre en cause la légitimité du système démocratique tunisien en d’autres circonstances. La censure est un sujet bien trop grave et que je connais suffisamment bien pour que je conserve le silence.

Alors comme la médiatisation a joué un rôle extraordinaire (quand elle est enfin arrivée) dans ces soulèvements populaires il est temps que tous prennent conscience de ce qui risque de se passer si la censure reprend ses droits en territoire tunisien…

Elle a été l’arme de prédilection de Ben Ali et est un des symboles de son pouvoir. A l’étranger la censure tunisienne est un exemple de ce que tous redoutent…

La protestation a été l’arme de prédilection des opposants, la médiatisation par les pays étrangers un outil non négociable.

Ne laissez pas Ammar404 revenir…

Encore merci Hadopi

On oublie trop souvent de voir les bons côtés de la Hadopi et en ces temps de promotion, de publicité, que dis-je de propagande, il est bon de reconnaitre à Hadopi quelques qualités. Ce soir notamment Hadopi m’a rendu un service immense !

J’avais pris cette mauvaise habitude de regarder de temps en temps la télévision et, à part pour savoir ce que les français qui se contentent de la boite à images pour s’informer de ce qui se passe en dehors de leur quotidien immédiat, ce machin n’a finalement que peu d’intérêt… Après avoir mangé deux spots de propagande de la Hadopi en 10mn (et ce juste après avoir regardé un bon film) j’ai décidé de couper la télévision jusqu’à la fin juillet, date de fin de la campagne en cours.

Cette fréquence n’est d’ailleurs pas sans soulever des interrogations sur Twittercertains se demandent comment Hadopi peut-être si présent pour un si « maigre » (toutes proportions gardées) budget…

Au delà de l’épisode de ce soir il est non de se souvenir tout le bien que je pense de la Hadopi, point de vue que j’ai résumé dans ce post et dans ma lettre de motivation au poste de community manager !

D’ici là, merci Hadopi, j’ai un film au chaud !

Hadopi lance sa campagne avec une négligence caractérisée

Vous connaissez la rengaine, chaque fois que Hadopi met son site à jour je trouve une faille sur les ajouts. Ce matin c’est un tout nouveau site qui est mis en ligne : pur.fr (vous n’avez pas cru que j’allais leur faire un backlink ?) et forcément je me suis mis dessus – pas de jour férié qui compte !

Et forcément, après avoir grillé 2 de mes IP (j’en ai quelques unes sous le coude c’est pas bien grave) j’ai fini par trouver une petite XSS… Comme un air de déjà-vu !

Sauf que nos amis de Agence H ont pris la précaution d’installer une classe qui se charge de filtrer les URL suspectes… Un peu violente puisqu’elle va blacklister l’adresse IP du supposé attaquant lui interdisant dès lors l’accès à la totalité du site… Super pour un site d’information sur les « usages responsables » !

Le trou est sur la page de recherche (oui oui il y en a une, elle est juste cachée) et vient du non-filtrage de la variable recherchée… Un grand classique !

Ainsi en appelant l’url suivante : http://www.pur.fr/search/node/here »>ICI – Le code source de la page deviendra :

On voit assez nettement que les caractères surlignés sont interprétés comme du code HTML et non comme du texte. Sans la classe de blacklisting sauvage des IP, cette faille serait exploitable pour modifier le contenu de la page, exécuter du code arbitraire, … Ou ajouter The Pirate Bay dans les offres PURes par exemple…

On en revient donc au paradigme déjà avancé par la Hadopi : pour sécuriser sa connexion, il faut la couper !

Bon en passant le code source du site est juste affreux, l’optimisation inexistante et des brides de code PHP sont visibles en commentaire dans le code HTML…

4/20, revoyez votre copie élève Hadopi/Agence H !

Edit : @_noKid a trouvé un moyen (drôle) d’exploiter la faille sans énerver la classe anti-hack : http://goo.gl/ckwdY – Bien joué à lui !

Edit 2 : Moteur de recherche désactivé, @tieumtieum a eu le bon réflexe de faire une capture d’écran, ici : http://lockerz.com/s/110337119

Edit 3 : De fail en pire : @ssx3max me signale une autre XSS qui m’avait échappé et qui est déjà exploitée : http://t.co/VVSeWrF

TMG va être audité par HSC… On s’en fout un peu…

Depuis aujourd’hui on connait le nom de la boite qui va auditer la milice de la Hadopi (TMG) : HSC. L’occasion de vous expliquer rapidement pourquoi il ne faut rien attendre de cet audit et à quel point il s’agit de poudre aux yeux…

Concrètement une mission d’audit se déclenche quand un client X (ici les ayants-droits et TMG) approche une entreprise ou un expert Y (ici HSC) pour réaliser une analyse d’un existant en vue d’obtenir des préconisation d’évolution sur des domaines de qualité, sécurité, référencement, … Ici on parle d’audit de sécurité, ça tombe bien, c’est mon boulot !

Quand un client X m’approche, et avant même de travailler sur un devis, est signé un contrat de confidentialité (dans 99.99% des cas on va dire) garantissant que je ne vais pas dévoiler mes découvertes sur mon blog par exemple. Cette clause de confidentialité est reconduite dans le contrat de prestation, elle permet notamment de garantir au client qui va me livrer ses sources que je les garderai pour moi. Certains imposent même que les sources soient shrédées une fois la mission d’audit réalisée. Une contrepartie financière très lourde est prévue en cas de manquement à cette clause (le genre qui te fait passer l’envie de faire du full disclo).

Une fois le devis transmis et accepté la phase d’audit peut commencer. Il s’agit d’analyser l’existant et d’en relever les défauts de la façon la plus exhaustive possible. Plusieurs façons de procéder ici :

– à l’aveugle : je n’ai pas les sources et bosse sur un serveur de test que je vais malmener autant que possible pour me placer dans un rôle d’attaquant bête et méchant (c’est ma méthode préférée, relativement chèr, aucune garantie donnée sur le rapport final vu que l’on peut rater quelque chose).
– rapport classique : j’ai les sources, je me base sur celles-ci et cherche directement dans le code ce qui peut poser souci (je ne suis pas fan, c’est de la lecture de code, de bonnes garanties sur le résultat final si suffisamment de temps).
– méthode hybride : un peu des deux au dessus, en général je commence par taper à l’aveugle et je vérifie les sources ensuite… (franchement fun, très cher, très bonnes garanties).

Cette phase d’audit dure plus ou moins longtemps en fonction de la taille et de la complexité du système analysé. Il n’y a pas de norme réelle, le plus tu payes le plus j’ai le temps de creuser et plus les résultats seront proches de l’exhaustivité. Si tu me demandes de t’auditer un site web en 3 jours il y a intérêt à ce que le machin soit très light !

Ensuite vient le rapport d’audit, j’ai consigné toutes mes découvertes dans un tableur open office (z’avez pas cru que je bossais sur excel quand même !) et je n’ai plus qu’à mettre en forme.

Pour chaque anomalie relevée un paragraphe est consigné dans le rapport expliquant la nature de anomalie, sa localisation (éventuellement multiple), ses implications ainsi que deux indicateurs : la criticité et la quantité estimée de travail pour corriger ladite anomalie. Le tout est remisé dans un rapport marqué « confidentiel » de partout… et qui commence par dédouaner l’expert en expliquant le périmètre de l’audit (typiquement quand j’audite du Web je n’audite pas Apache ou PHP) et qu’éventuellement, même dans ce périmètre, des choses peuvent avoir échappé à l’audit faute de temps (c’est relativement cher donc le client négocie souvent pour que l’on bosse pas trop).

Le client dit merci, paye et éventuellement mandate une autre boite pour corriger ce qu’il juge nécessaire de corriger, essentiellement en fonction des deux indicateurs par anomalie fournis par l’expert. Concrètement si une anomalie mineure est relevée et que la corriger demande beaucoup de temps de travail, vous avez toutes les chances qu’elle reste en place…

Le client a la jouissance exclusive du rapport et le pouvoir de décider ce qui est à corriger ou non. L’expert qui a réalisé l’audit sait de quoi il retourne mais est toujours tenu par la clause de confidentialité. Souvent il doit se débarrasser du document produit et l’affaire s’arrête là pour lui.

Alors même avec toute la compétence que peut avoir HSC (que je ne connais pas) et sachant que l’audit a été commandé par TMG et les ayants-droits, qui n’ont aucun intérêt à ce que les serveurs de test de TMG soient reconnus comme ce qu’ils sont : des passoires, ne vous attendez pas à un quelconque résultat ou à la moindre dans la pratique.

TMG et les ayants-droits viennent de mandater des experts facturés entre 500€ et 900€ la journée pour ne pas avoir l’air (trop) cons…

Si vous ne piratiez pas il va falloir commencer, vite !

Ok c’est le matin, je me réveille tranquillement, première cigarette devant BFM TV en regardant mes flux RSS… Et là je tombe sur cet article de Numerama qui présente la campagne de communication TV de la Hadopi.

Pour l’anecdote j’avais été contacté pour donner mon avis sur la campagne en question mais n’avais pas pu m’organiser, faute d’emploi du temps, pour me rendre disponible. J’avais refusé toute rémunération bien entendu…

Passé ce détail regardons ces 3 spots qui ont du être faits par la même boite (qui va finir par couler oui ou merde ?) qui avait réalisé commis les spots pour la carte musique jeune 100% kiff ?


Hadopi – spot TV 1 par Numerama


Hadopi – spot TV 2 par Numerama


Hadopi – spot TV 3 par Numerama

Alors je ne sais pas pour vous mais moi ce que je vois dans cette campagne de (dés)information c’est le message suivant : si vous ne voulez pas de la culture kleenex imposée par les majors et les studios hollywoodiens sans imagination favorisez les petits créateurs. Reste que je ne suis pas fan du label « PUR » qui fait franchement friser le point Godwin chaque fois que j’y pense… Mais j’aime le message !

Allez on se prend par la main, et on commence à pirater pour le bien de la culture, c’est Hadopi qui le conseille !