J’avais pris cette mauvaise habitude de regarder de temps en temps la télévision et, à part pour savoir ce que les français qui se contentent de la boite à images pour s’informer de ce qui se passe en dehors de leur quotidien immédiat, ce machin n’a finalement que peu d’intérêt… Après avoir mangé deux spots de propagande de la Hadopi en 10mn (et ce juste après avoir regardé un bon film) j’ai décidé de couper la télévision jusqu’à la fin juillet, date de fin de la campagne en cours.

Cette fréquence n’est d’ailleurs pas sans soulever des interrogations sur Twitter où certains se demandent comment Hadopi peut-être si présent pour un si « maigre » (toutes proportions gardées) budget…

Au delà de l’épisode de ce soir il est non de se souvenir tout le bien que je pense de la Hadopi, point de vue que j’ai résumé dans ce post et dans ma lettre de motivation au poste de community manager !

D’ici là, merci Hadopi, j’ai un film au chaud !

Et forcément, après avoir grillé 2 de mes IP (j’en ai quelques unes sous le coude c’est pas bien grave) j’ai fini par trouver une petite XSS… Comme un air de déjà-vu !

Sauf que nos amis de Agence H ont pris la précaution d’installer une classe qui se charge de filtrer les URL suspectes… Un peu violente puisqu’elle va blacklister l’adresse IP du supposé attaquant lui interdisant dès lors l’accès à la totalité du site… Super pour un site d’information sur les « usages responsables » !

Le trou est sur la page de recherche (oui oui il y en a une, elle est juste cachée) et vient du non-filtrage de la variable recherchée… Un grand classique !

Ainsi en appelant l’url suivante : http://www.pur.fr/search/node/here »>ICI – Le code source de la page deviendra :

On voit assez nettement que les caractères surlignés sont interprétés comme du code HTML et non comme du texte. Sans la classe de blacklisting sauvage des IP, cette faille serait exploitable pour modifier le contenu de la page, exécuter du code arbitraire, … Ou ajouter The Pirate Bay dans les offres PURes par exemple…

On en revient donc au paradigme déjà avancé par la Hadopi : pour sécuriser sa connexion, il faut la couper !

Bon en passant le code source du site est juste affreux, l’optimisation inexistante et des brides de code PHP sont visibles en commentaire dans le code HTML…

4/20, revoyez votre copie élève Hadopi/Agence H !

Edit : @_noKid a trouvé un moyen (drôle) d’exploiter la faille sans énerver la classe anti-hack : http://goo.gl/ckwdY – Bien joué à lui !

Edit 2 : Moteur de recherche désactivé, @tieumtieum a eu le bon réflexe de faire une capture d’écran, ici : http://lockerz.com/s/110337119

Edit 3 : De fail en pire : @ssx3max me signale une autre XSS qui m’avait échappé et qui est déjà exploitée : http://t.co/VVSeWrF

Pour l’anecdote j’avais été contacté pour donner mon avis sur la campagne en question mais n’avais pas pu m’organiser, faute d’emploi du temps, pour me rendre disponible. J’avais refusé toute rémunération bien entendu…

Passé ce détail regardons ces 3 spots qui ont du être faits par la même boite (qui va finir par couler oui ou merde ?) qui avait réalisé commis les spots pour la carte musique jeune 100% kiff ?

Hadopi – spot TV 1 par Numerama

Hadopi – spot TV 2 par Numerama

Hadopi – spot TV 3 par Numerama

Alors je ne sais pas pour vous mais moi ce que je vois dans cette campagne de (dés)information c’est le message suivant : si vous ne voulez pas de la culture kleenex imposée par les majors et les studios hollywoodiens sans imagination favorisez les petits créateurs. Reste que je ne suis pas fan du label « PUR » qui fait franchement friser le point Godwin chaque fois que j’y pense… Mais j’aime le message !

Allez on se prend par la main, et on commence à pirater pour le bien de la culture, c’est Hadopi qui le conseille !

Et puis… Tiens je ne le connais pas ce site, il fonctionne comment, y’a quoi là ? Oh un beau formulaire de recherche… Ne me dîtes pas que…

Et bien si !

Donc le ministère de la Culture lui-même, celui qui a poussé la loi pour la confiance en l’économie numérique qui instaure entre autres joyeusetés le délit de négligence caractérisée, demandant à tous les internautes de s’improviser experts en sécurité (hey me piquez pas mon boulot !) ne respecte pas ses propres prérogatives et est incapable de sécuriser un minimum (mais là c’est vraiment rien hein !) son site ?

Après Hadopi, TMG, Orange, les Vaporware Hadopi, Universal, … Le ministère lui-même… Il faut encore d’autres démos ou quelqu’un va enfin entendre que le délit de négligence caractérisée est une fumisterie caractérisée ?

Juste pour info je peux tout à fait ajouter des liens vers des contenus contrefaits sur le site du ministère et alors qui saura qu’il est en train de télécharger « illégalement » ?

Bon je préviens pas ce coup-ci, il parait que le ministère est abonné au RSS de ce blog !

Concrètement lorsque vous ne le désactivez pas (activé par défaut), votre Freebox se comporte comme un hotspot accessible à tous les abonnés Free qui partagent eux aussi leur accès. Une adresse IP publique est dédiée à ce hotspot – donc si un voisin profite de votre accès via ce hotspot il n’aura pas la même adresse IP que vous.

Sauf que ce voisin, comme vous d’ailleurs, pour profiter de l’accès au hotspot, dispose de codes l’identifiant (numéro de client et mot de passe choisi par l’utilisateur). Ces identifiants ainsi que les IP dédiées au FreeWifi sont connus de Free qui fera le match avec le client à qui appartiennent les codes utilisés et non la passerelle (la freeboite).

En l’occurrence quand un FreeWifi est flashé, même si il utilise votre freeboite, c’est à priori la personne à qui appartiennent les codes qui sera incriminé par la Hadopi pour des faits de non-sécurisation de sa connexion.

Bien sûr cela est tout à fait illogique puisque les codes en question sont parfois très simples (pour s’en souvenir partout où l’on est), que certains sont dispos sur le Net et surtout parce que la connexion d’un abonné peut être (dans la mesure du possible encore une fois) tout à fait sécurisée et ses codes FreeWifi dans la nature (de son fait ou non – exemple : http://pastebin.com/5pC6TAh8).

Bref encore une connerie de la Hadopi, mais oui : on peut se faire flasher en FreeWifi (que l’on télécharge ou pas d’ailleurs, mais ça c’est le principe même de la Hadopi !)

Face aux approximations lues de ci de là, dans les commentaires notamment je me fends d’une réaction un peu plus construite que le précédent article écrit essentiellement parce que je trouvais cela très drôle. Je vais aussi en profiter pour vous annoncer la suite des événements.

Je n’ai pas reçu moi-même de mail, je ne vis plus chez mes parents, contrairement à mon frère plus jeune, et y retourne régulièrement (vu que l’on habite dans la même ville) pour prendre un café et m’occuper de toutes les questions d’informatique (tous les geeks qui me lisent vont se reconnaitre là, ça ne finit jamais :)). C’est donc bien moi qui ai monté l’ordi de ma mère, aidé mon frère à choisir le sien et c’est aussi moi qui ai installé le wifi. L’un des PC, celui de ma mère, est assez âgé, mais lui suffit largement pour son usage (web, mail et bureautique) – la carte wifi est donc aussi vieille que l’ordi et les pilotes existants (surtout sous Ubuntu installé pour ne pas avoir à faire trop de support sur un Windows boiteux) ne prennent pas en charge le WPA (alors le WPA2-AES n’en parlons pas).

Donc oui le réseau wifi est bien encrypté en WEP uniquement. Je sais que ce n’est pas idéal, mais il n’y a aucune raison pour que cela change sous la pression de la Hadopi. Après qu’elle ai reçu le mail de la Hadopi j’ai fait un certain nombre de fois des tests via nmap (nmap 192.168.0.* tout simplement) pour vérifier les bécanes connectées à la freeboite sans en trouver d’autres que celles qui sont censées y être. Cela ne veut pas dire que ce n’a pas été le cas, juste qu’un voisin ne squatte pas h24 le réseau après l’avoir craqué – là encore j’en suis conscient. Petite précision aussi, le routeur est configuré pour gérer 2 IP qui sont mappées sur les adresses MAC des 2 PC qui tournent – Là encore, une adresse MAC se falsifie sans aucun souci, mais j’aime éloigner les kiddies

Mais de toutes façons tout cela n’a aucune importance puisque, une fois les renseignements pris auprès de Free, il s’agit de l’IP d’un FreeWifi connecté dans la même ville que ma mère, utilisant les identifiants de celle-ci qui, a été flashée… Donc la « sécurisation de la connexion » (*sic*) n’a strictement rien à voir là dedans puisque le forfait supposément commis l’a été depuis ailleurs, par quelqu’un d’autre.

Je pensais le FreeWifi de ma mère désactivé, il ne l’était pas, je l’ai désactivé depuis. Je n’ai jamais expliqué à ma mère ou mon frère comment ce machin fonctionne, et à ma connaissance je suis le seul à m’être servi de ces codes lors de déménagement, le temps d’avoir une connexion moi même. Pour avoir essayé à l’époque, télécharger en P2P sur du FreeWifi (bridé à 115ko/s) c’est à la limite de l’exploit !

Je vais donc creuser cette piste bien étrange pour commencer…

Mais surtout, ce matin j’ai eu ma chère mère au téléphone (je sais que tu me lis, ne te cache pas) et lui ai demandé ce que cela me coûterai de lui faire déposer plainte contre l’Etat… Ce à quoi elle m’a répondu : « tu me dis quoi faire, je te fais confiance ». Comme on dit chez nous les non-civilisés hystériques du Net : EPIC WIN in progress !

Il y aura donc des suites, sous quelle forme cela dépendra de la réponse à ma demande du PV d’infraction (que je fais partir demain) d’une part et des infos que j’arrive à avoir sur l’IP – Mais une chose est sûre : l’envoi des mails avant que la Hadopi ne fournisse de solutions labellisées pour « sécuriser sa connexion » (*re sic*) sera au moins un point d’attaque.

Je vais prendre conseil auprès de mes contacts habituels (juristes et avocats) mais tout point techniquo-juridique que j’aurai négligé m’intéresse, n’hésitez pas à me spammer sur Twitter, dans les commentaires ou par mail.

Ah, et pour les sceptiques (je sais c’est énorme que ça tombe sur ma mère) : http://twitpic.com/4n99yb.

(Info pour France 2 : je ne vis pas dans les Yvelines mais dans le Val de Marne, bisou.)

Et puis, de retour de ses vacances, ma mère toute bronzée ouvre ses mails… « Recommandation Hadopi »

Coup de fil à son pirate de fils, forwardage de mail, consignes de vote : tu changes rien, je m’occupe de tout !

Un petit coup de fil à la Hadopi plus tard, le courrier contenant les œuvres supposées partagées est parti – j’attends de voir.

Gros bémol toutes fois sur le mail en lui-même pour le moment : le partage est supposé avoir eu lieu le 31 mars (un jeudi) à 7h49 (dans le mail) sur emule (d’après la dame que j’ai eu au tel).

Sur l’ordi de ma mère, sous Ubuntu, emule n’est pas installé (Transmission suffit largement) – A ma connaissance, mon frère n’utilise plus ce logiciel… Et surtout n’est pas réveillé à cette heure-ci (son ordi étant éteint pour dormir).

Je vais faire quelques vérifications ce week-end, j’attends le courrier contenant le nom de l’œuvre et je vous tiens au courant… En tout cas félicitation à ma môman !

Edit : Après vérification, ni ma mère, ni mon frère n’utilisent emule… Je check le réseau ce week-end pour voir, mais normalement WPA2 en place (avec chaîne générée aléatoirement).

Edit2 : Bon j’ai été vérifier sur place ce week-end. La clef en place est une clef WEP pour des raisons de compatibilité avec un des ordinateurs. Le PC sous Windows n’a pas l’air infecté par un virus (scan antivirus + surveillance du réseau avec Wireshark) et un nmap n’a pas révélé de machine connectée à la freeboite à son insu. L’adresse IP présente dans le mail ne correspond pas à celle relevée ce week-end (dégroupage total et IP fixe avec freeWifi désactivé). J’attends les oeuvres supposées partagées et on demandera le PV d’infraction Mais ça commence à sérieusement sentir le faux positif !

Edit3 : L’oeuvre supposée téléchargée est Le mytho, fleuron cinématographique dont je n’avais jamais entendu parler (faut dire que je suis pas fan d’Adam Sandler) mais surtout que ni ma mère, ni mon frère n’avaient téléchargé… Et pour cause : ils ne le connaissent pas non plus. Nous avons donc à nouveau des innocents accusés par la Hadopi ! Je vais demander le PV de l’infraction dans la journée…

Edit4 : Semblerait que le FreeWifi soit en fait activé puisque c’est une IP FreeWifi qui a été flashée, sur la même ville que celle où ma mère réside… Les codes n’ont, à ma connaissance jamais été utilisés, je fais tourner les miens quand c’est nécessaire…

La suite ici : http://www.paulds.fr/2011/04/hadopi-on-avait-dit-pas-la-famille/

Si dans la pratique pour les majors cela peut signifier que les gens arrêteront de profiter de la musique gratuitement (alors que cela rapporte aux artistes via les publicités notamment) dans la réalité des choses que va-t-il se passer ?

Dans la vraie vie, loin des 6 étages de bureau d’Universal, on va se replonger dans le débat des DRM, des mesures prises pour limiter les utilisateurs dans la jouissance d’œuvres pourtant acquises légalement ! Dans la pratique on va se retrouver exactement dans la même situation que celle qui a amorcé le déclin des majors à l’arrivée du numérique !

Personnellement je ne suis pas fan (du tout) des systèmes à la Spotify parce qu’ils peuvent, en fonction des accords qu’ils signent, priver l’utilisateur de la liberté d’accéder au contenu qu’il aime du jour au lendemain. Je trouve que ces solutions peuvent cohabiter avec une libre circulation des créations, apparemment je suis le seul puisque les mesures prises signent l’arrêt de mort de ces plateformes…

Les gens vont voir les nouvelles limites qu’on leur impose et chercher des systèmes qui leur permettent de s’en affranchir. Il y aura des bidouilles permettant de contourner ces limitations, surement assez techniques, mais il y aura surtout une vague de migration depuis des systèmes légaux vers d’autres qui le sont moins (voire pas du tout) mais qui prennent en compte les attentes des utilisateurs. Des systèmes toujours plus simples à utiliser, plus rapides et moins chers qui donnent au pirate moyen (qu’il sera devenu grâce à l’appétit des majors) un réel contrôle sur ce qu’il aime.

Reste une petite erreur de parcours Pascal : Hadopi ! Si vous pouviez faire un peu pression pour reléguer cette loi aux oubliettes. Je sais que vous l’avez voulu (et eu) mais comprenez que l’on pourrait envisager voir nos débits en P2P augmenter et les recettes de Megaupload et consorts chuter… Moi ça me parait une équation très intéressante pour le public, les artistes (bah oui c’est toujours intéressant de faire grandir sa fanbase, pour les concerts, les produits dérivés, la promotion, … notamment). La grande inconnue restera le rôle des majors… Mais ça je m’en moque un peu à vrai dire !

D’avance merci Pascal !

Rappelons que la Hadopi demande à chaque personne de sécuriser son accès à Internet, ce qui, si c’était possible, révèlerai de qualifications d’un ingénieur en sécurité réseau. Le fait est qu’il restera toujours des points du réseau hors du contrôle de l’utilisateur et que son adresse IP pourra toujours être usurpée, même si son réseau est lui sécurisé de l’ordinateur aux sites qu’il visite.

Autant dire qu’elle repose sur du vent et que personne n’arrive à leur faire entendre cela depuis des mois / années que tous essayent…

Nous nous étions alors posé la question avec Bluetouff et RootBSD de savoir si le gouvernement, avec ses moyens, s’appliquait lui même la rigueur qu’il exige de monsieur et madame tout le monde. Réponse courte : pas du tout !

J’ai ensuite voulu vérifier si la Hadopi le faisait. Réponse courte : non plus !

Puis ce fut le tour de TMG, nouveaux gendarmes privés du Net. Réponse courte : toujours pas !

Mais là où on pourrait croire que la Hadopi aurait tiré les leçons de la première démonstration, j’ai pu trouver hier, en 6mn30, une nouvelle faille sur le site de l’autorité… Selon la loi il s’agit donc du second avertissement… Au prochain il faudra songer à couper la connexion chez Hadopi ?

Je vais bien sûr contacter Eric Walter (en heures de bureau) pour lui signaler la faille et lui expliquer comment la corriger avant qu’un « voyou d’internet » (copyright Pr Riguidel) ne s’en serve… D’ici là, amusez vous avec ce petit détournement publié sur Twitter

MAJ : Après avoir contacté Eric Walter, il semblerai que la faille ait été corrigée. Il n’en reste pas moins qu’elle constitue le deuxième manquement au devoir de sécurisation… A la prochaine

Le CD est un objet de plastique, sans aucune charge affective. Ces dernières décennies ont été le théâtre de changements de supports perpétuels : du vinyle à la cassette en passant par les mini-disc pour arriver finalement au CD… J’ai connu, malgré mon âge, tous ces supports, aussi éphémères que chers (exception faite du vinyle qui porte une certaine charge affective intemporelle chez certains, dont moi).

Je suis aussi passionné de lecture (je dirai bien littérature mais certains ouvrages que je lis en sont loin) et pourtant je n’envisage pas une seconde d’abandonner le livre physique, le papier… Alors qu’en bon geek tout ce que j’écris, même mes prises de notes, est sur informatique…

Pourquoi ?

Parce que le livre a une histoire, des moines copistes à l’imprimerie, qui ne prend pas ses racines il y a à peine 100 ans. Parce que le livre a toujours été sur le même support depuis tout ce temps et que tenir dans ses mains un livre veut dire beaucoup plus que de tenir une galette de plastique dont on doit en plus se séparer pour l’apprécier.

Parce que le livre est cher, mais il coûte aussi relativement cher à produire là où le CD est aux mêmes prix pour un coût de fabrication bien nettement inférieur… Parce qu’avec un livre les éditeurs nous prennent pour des cons… mais pas trop…

Alors oui c’est triste, si l’industrie musicale (quel terme abject pour quelque chose initialement artistique) ne se renouvèle pas, ne pourra plus vendre de musique enregistrée dans quelques années. Pas parce que les gens préfèreront le gratuit, mais parce que les gens ont tendance à se rendre compte, au bout d’un moment, quand ils se font enculer…

Mais si la musique enregistrée [payante] n’était qu’une phase, si les soit-disant artistes (quand on pinaille sur les mauvaise ventes de son œuvre alors qu’elle trouve un public autrement on n’est plus un artiste mais une machine à produire du copyright) avaient eu la chance que n’auront pas leur successeurs et que n’avaient pas leur prédécesseurs de vendre plusieurs dizaines (centaines) de milliers de fois la même œuvre et d’en tirer du bénéfice ? Serait-ce grave pour autant ?

La musique aura toujours de la valeur, qu’elle se transcrive en monétaire ou pas dépendra de la stratégie en ce sens des groupes, l’enregistrement quand à lui n’en a jamais eu. Il a eu un coût, et l’on voit où cela nous mène…

Le CD est un format obsolète par sa mise en place, obsolescence due aux stratégies commerciales des maisons de disques, qui n’a pas encore trouvé de successeur (vendre du MP3 est juste une aberration) et qui n’en trouvera probablement pas.

Pourquoi continuer à faire peser les libertés individuelles des citoyens (Hadopi si tu me lis) pour protéger ceux qui se définissent eux-même comme une « industrie », qui n’ont pas su s’adapter à leur marché et qui finalement ne représentent qu’une toute petite partie de la culture, la vraie !

Pourquoi pleurer sur le sort de personnes qui sont responsables de leurs propres échecs et qui ne sont pas le moins du monde nécessaires à la création en elle-même ? Quel est le risque de voir des « industries » disparaitre à part de les voir remplacées par quelque chose qui sera plus au goût du jour ?

PS : Dans 2 jours je suis invité par Universal à l’avant première d’un reportage sur le piratage… Je me suis dit que ça valait bien un billet d’humeur