Seedfuck you !

[Grand_Maître_B]

AntéChristine, la mère de ce monstre Hadopi, est très triste. On raconte ainsi qu'elle a mis dehors l'ami ricoré, préférant se lamenter aux petits déjeuners avec son nouvel ami Alphonse Latartine:
"Que me font ces hémicycles, ces salons, ces palais, ces chaumières,
Vains objets dont pour moi le charme est envolé ?
socialistes, Ump, communistes, solitudes si chères,
Un seul décret vous manque, et tout est dépeuplé."
C'est qu'en effet on attend toujours les décrets d'application des lois Hadopi sans lesquels les textes restent lettre morte.
Et tandis que les décrets tardent, les activistes anti-Hadopi s'activent et voilà qu'un outil joliment dénommé Seedfuck vient de naître. Son utilité est toute simple: il inonde les trackers de fausses adresses IP, et les chasseurs de pirates relèveront ses adresses, qu'importe si elles correspondent à des internautes innocents.
Cette information, qui fait tourner la tête des pirates qui s'imaginent déjà pouvoir plaider devant un juge que si leur adresse ip a été flashée, c'est pas eux, promis juré, ils se sont juste fait seedfucker, est relayée par de nombreux sites internet qui déconseillent cependant tous l'usage de cet outil au motif que l'utilisateur pourrait tomber sous le coup de l'article 434-23 du Code pénal. Alors info ou intox ? C'est ce que nous allons voir.
Commençons par rappeler ce que dit l'article 434-23: "Le fait de prendre le nom d'un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.
Nonobstant les dispositions des articles 132-2 à 132-5, les peines prononcées pour ce délit se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l'infraction à l'occasion de laquelle l'usurpation a été commise.
Est punie des peines prévues par le premier alinéa la fausse déclaration relative à l'état civil d'une personne, qui a déterminé ou aurait pu déterminer des poursuites pénales contre un tiers."
Alors, comme vous pouvez simplement le lire, l'infraction est constituée s'il y a emprunt de l'identité d'une personne existante. L'infraction suppose également le caractère intentionnel de la prise du nom de ce tiers. C'est l'hypothèse fréquente de la personne interpellée qui prétend répondre à l'identité portée sur les papiers qu'elle a volés ou recelés et falsifiés par apposition de sa propre photographie.
Enfin, il faut que l'emprunt du nom d'un tiers ait été fait dans des circonstances qui ont déterminé ou auraient pu déterminer contre ce tiers des poursuites pénales. C'est le cas par exemple, de la falsification de papiers d'identité et plus encore leur usage qui sont, à l'évidence, par l'usurpation d'état civil qu'elles impliquent, de nature à impliquer des poursuites pénales contre le tiers.

Evidemment, dans notre cas, l'internaute dont l'adresse ip se retrouve diffusée risque d'être poursuivi pour contrefaçon. Mais subsiste deux problèmes. Le premier est que l'adresse ip n'est pas un nom. C'est peut être un élément qui permet d'identifier une personne, mais ça n'est pas un nom. Le deuxième, c'est que l'utilisateur de seedfuck ne cherche pas à emprunter le nom (ou même l'identité) d'une personne en particulier. D'ailleurs, il y a fort à parier que l'utilisateur de seedfuck ne connaît pas l'identité de ceux qui peuvent se retrouver mélés à un téléchargement dont ils ignorent tout.


Aujourd'hui donc, reste entière la question de savoir si l'emprunt d'une adresse IP ou même d'un nom de domaine ou d'une adresse e-mail seraient bien poursuivables, s'il résulte de l'emprunt une infraction distincte, sur le fondement de l'article 434-23 du Code pénal.


Je ne vous conseille ni encourage évidemment pas à utiliser seedfuck. Je dis juste qu'il est impossible de dire que son utilisation implique une violation de l'article 434-23 du Code pénal. Il est envisageable qu'un juge puisse avoir envie d'appliquer cet article, même si l'utilisateur de seedfuck n'a pas emprunté le nom d'un tiers et même s'il n'a pas emprunté volontairement l'identité d'un tiers déterminé (ça sera en tous les cas très difficile à prouver), mais ce n'est pas garanti.


Disons donc simplement que vous prenez un risque en utilisant seedfuck.


Et pendant ce temps, Antechristine & Nico pleurent.




Voir la news (1 image, 0 vidéo )

[Daedaal]

Beau... simplement beau !

Encore un bel exemple du fait que le Loi n'a pas à intervenir dans le micro-management, mais est bien là pour fixer les règles générales de la vie en société.

J'avais lu/vu/entendu tout un argumentaire fort bien ficelé sur les raisons pour lesquelles la Loi - par essence - ne peut se préoccuper de problèmes technologiques, notamment le fait que la Loi est sur un temps long (élaboration, délibérations, etc...) alors que la technologie est sur un temps court. (d'ailleurs, si quelqu'un retrouve cette source....)

[zabuza]

Le principe de Seedfuck est tout de même intéressant, prouver qu'Hadopi est faux. Cependant,j'ai bien du mal à en saisir le fonctionnement.

Pour analyser les IP présente sur un tracker torrent, un simple netstats via cmd.exe ne suffit pas ?
( j'exagère, avec un programme plus évolué on trouve de meilleurs infos.. ).
Comment seedfuck peut-il contourner cela ?

[Kass Kroute]

Heureusement que le juge a autorité pour interpréter la loi...
Vu le vide juridique au niveau high-tech (et le temps qu'il faudra au code pénal pour être mis à jour)

Par contre, j'ai un peu de mal à comprendre la fin de cette phrase :

Aujourd'hui donc, reste entière la question de savoir si l'emprunt d'une adresse IP ou même d'un nom de domaine ou d'une adresse e-mail seraient bien poursuivables, s'il résulte de l'emprunt une infraction distincte, sur le fondement de l'article 434-23 du Code pénal.

Edit : en faisant des recherches, je suis tombé sur legifrance qui classe le 434-23 dans
"Des crimes et délits contre la nation, l'Etat et la paix publique/Des atteintes à l'autorité de l'Etat/Des atteintes à l'action de justice/Des entraves à l'exercice de la justice".
Intuitivement, je ne l'aurais pas vu comme ça...

[Grand_Maître_B]

Pourtant c'est bien ça. Quand tu commets un délit et que tu utilises le nom d'un tiers si on t'attrape, tu fais accuser qqn d'autre à ta place. Du coup, tu commets une atteinte à l'action de la justice, une entrave à l'exercice de la justice etc...

[564.3]

Comme le fait remarquer zabuza, je vois mal l'intérêt de seedfuck...
Au mieux, ça permettra de s'assurer que les agents d'Hadopi ne feront pas le boulot à moitié (façon de parler, ça reste des programmes).

Pour les emails par exemple, les spambots créent des adresses d'expediteur bidon ou issues du carnet d'adresse de la machine infectée. Heureusement que les antispams se fie à l'adresse IP de l'expéditeur (ou du relais), et pas seulement à ce qu'il y a écrit sur l'enveloppe...

[Reizz]

Beurk SeedFuck.

ça semble être un truc de script kiddies tout pourri
ça ne fait que faire en boucle et sur plusieurs threads des requètes HTTP (annonces) sur le serveur tracker. Et ça sera forcément utilisé avec abus par des mongolos.

L'utiliser ne peut être que malveillant envers le trackers qui risque un denial of service (trop de requêtes qui empêchent le serveur de prendre en compte les requêtes légitimes) et envers les autres clients qui se casseront fréquemment les dents sur des ip de peers qui n'existent pas.

Je pense que les trackers se protégeront vite si ce n'est déjà le cas de cette grosse merde (en bannissant automatiquement ces spammeurs).

Et avant de parler d'usurpation d'identité, je pense à mon avis de non juriste qu'on tombe sous le coup des articles 323-1 à 323-7 du code pénal :

Article 323-2
Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 300 000 F d'amende.

Le propriétaire du tracker pourra se retourner contre ceux qui abusent du seedfuck.

[CPC Père Blastor]

Je m'y connais pas trop en procédure pénale, mais je sais que la preuve s'y fait par tout les moyens.

Et nos amis de la police (notamment celle du web) étant tout sauf bête, la seule idée de se prendre un cumul de peines s'il prouve ton utilisation de seedkeuf me refroidie.

Maintenant OK c'est facile de troller sur HADOPI et ça donne envie de les titiller un peu mais monter un pseudo spambot bien foireux et le distribuer...

C'est un coup à se prendre une enquête de le STRJD qui est plutôt compétent aux dernières nouvelles.

[Shamu]

Pour que seedfuck fonctionne, il faut que l'organisme de contrôle ne vérifie pas que l'ip listée dans le tracker envoie bien des paquets des fichiers concernés, ce qui est aisément vérifiable (hé coco tu seed ? envoye qque paquets pour voir ? ok merci).

Bref d'un point de vue technique ca me semble facilement contournable un flood de mauvaises ip dans les trackers BT ou n'importe quel autre système de P2P.

Enfin voila pour mes 2 centimes pour la discussion

[Tatsu-Kan]

Pour que seedfuck fonctionne, il faut que l'organisme de contrôle ne vérifie pas que l'ip listée dans le tracker envoie bien des paquets des fichiers concernés, ce qui est aisément vérifiable (hé coco tu seed ? envoye qque paquets pour voir ? ok merci).

Bref d'un point de vue technique ca me semble facilement contournable un flood de mauvaises ip dans les trackers BT ou n'importe quel autre système de P2P.

Enfin voila pour mes 2 centimes pour la discussion

Sauf que justement, seedfuck simule également l'envoi de paquet et se fait passer pour un peer légitime tout comme d'autres logiciels qui permettent de truquer le ratio.
Ensuite, s'ils doivent vérifier qu'une source envoi bien un paquet, faudrait aussi contrôler le contenu du paquet. Parce que des faux paquets, c'est aussi facilement faisable.

[Reizz]

Sauf que justement, seedfuck simule également l'envoi de paquet et se fait passer pour un peer légitime tout comme d'autres logiciels qui permettent de truquer le ratio.
Ensuite, s'ils doivent vérifier qu'une source envoi bien un paquet, faudrait aussi contrôler le contenu du paquet. Parce que des faux paquets, c'est aussi facilement faisable.

Les POC de seedfuck que j'ai lus jusqu'ici ne faisaient que des annonces. Mais effectivement il doit y avoir des faux clients plus évolués.

J'ai même lu des sites d'information qui ont tout compris proposer de ne mettre que des ip des .gouv.fr. Comme si hadopi n'avait pas une white list .

Enfin bon ça reste de la merde comme technique. Comme hadopi.

[lincruste]

Je ne m'y connais ni en loi ni en P2P, mais a priori la moralité de l'histoire c'est qu'une IP n'est pas une preuve fiable d'identité mais ça ils s'en foutaient déjà, non?

[Ganja]

Je pense, oui. De surcroît, le texte de loi ne stipule-t-il pas que, nonobstant son innocence, un internaute dont les coordonnées auraient été flashées reste coupable, magré tout, de ne pas avoir su prendre les mesures nécessaires à la sécurisation de sa ligne internet?
"L'innocence n'existe pas. Il n'y a que des degrés de culpabilité."

[yggdrahsil]

Je pense, oui. De surcroît, le texte de loi ne stipule-t-il pas que, nonobstant son innocence, un internaute dont les coordonnées auraient été flashées reste coupable, magré tout, de ne pas avoir su prendre les mesures nécessaires à la sécurisation de sa ligne internet?
"L'innocence n'existe pas. Il n'y a que des degrés de culpabilité."

Bah en lisant ça je pense au automobilistes qui reçoivent des amendes alors que ce n'est pas leur véhicule dont il s'agit. Au niveau du traitement je parle donc la personne dont l'adresse ip est incriminé serait amené à payer avant de pouvoir faire une réclamation (enfin je ne sais pas s'il s'agit d'une réclamation ou autre au niveau du mot). Car avant on en revient au:

En revanche, vous aurez cependant noté que la Cour juge que le relevé d'une adresse IP d'un ordinateur ayant servi à l’infraction entre "dans le constat de la matérialité de l’infraction et pas dans l’identification de son auteur". Ce qui signifie que pour la Cour d'Appel de PARIS, une adresse IP ne permet pas d'identifier l'auteur d'une infraction de contrefaçon. L'adresse IP n'est donc pas une donnée personnelle, elle ne se rattache pas juridiquement à une personne, elle n'est pas la preuve, si vous préférez de ce que l'abonné a commis un acte de contrefaçon. D'ailleurs en l'espèce, ce n'est pas le titulaire de l'abonnement qui a commis l'infraction, mais ce bon vieux Cyrille.

, non ?

[Baal-84]

Je m'y connais pas trop en procédure pénale, mais je sais que la preuve s'y fait par tout les moyens.

Et nos amis de la police (notamment celle du web) étant tout sauf bête, la seule idée de se prendre un cumul de peines s'il prouve ton utilisation de seedkeuf me refroidie.

Maintenant OK c'est facile de troller sur HADOPI et ça donne envie de les titiller un peu mais monter un pseudo spambot bien foireux et le distribuer...

C'est un coup à se prendre une enquête de le STRJD qui est plutôt compétent aux dernières nouvelles.

La preuve se fait par tout moyen, mais l'interprétation des textes est stricte et non rétroactive. L'article invoqué ne doit pas s'appliquer.

... en théorie.
Parce que la théorie c'est bien beau, mais l'expérience prouve que c'est pas la pratique. J'ai déjà vu des mecs se prendre de lourde peines de prison pour homicide sur la base de l'intime conviction et de pièce du procès dont les experts disaient eux mêmes qu'elles n'étaient pas concluantes. Et sans passé délictuel, sans venir de cités ou quoi que ce soit. Méfiance avec le pénal, c'est pas le truc à prendre à la légère.

Rappelez vous toujours que le juge n'est qu'un blaireau parmi tant d'autre, sauf que lui a étudié la loi et a réussi un examen professionnel ... il y a bien des années ! Et qu'il ne rend de compte à personne ou presque sur ses conneries, sauf quand ça fait les gros titres. Dans ce cas ... il a une promotion

[Hazazel]

Article très intéressant Grand Maître B. Par contre PCInpact arrive à des conclusions différentes:

La poursuite pénale (réelle ou possible) est ici l’action en contrefaçon. « Le nom du tiers » est l’adresse IP, si elle est effectivement considérée comme donnée nominative. Cette question a longtemps été débattue, la future loi sur la protection de la vie privée qualifiant cependant de donnée personnelle « tout numéro identifiant le titulaire d'un accès à des services de communication au public en ligne ». (art.2)

Un autre article pourrait aussi jouer contre les « SeedFuckers » : c’est le futur délit d’usurpation d’identité numérique, prévu par la LOPPSI. Le texte du projet de loi dit que « le fait de faire usage, sur un réseau de communications électroniques, de l'identité d'un tiers ou de données de toute nature permettant de l'identifier, en vue de troubler la tranquillité de cette personne ou d'autrui, est puni d'un an d'emprisonnement et de 15 000 € d'amende ».

[Grand_Maître_B]

Kb

Article très intéressant Grand Maître B. Par contre PCInpact arrive à des conclusions différentes:

Oui tous les sites se sont emballés d où l envie de faire cette news. Mais dire que l adresse ip est un nom c est impossible aucun juge n à jamais dis ça. En outre regarde le post de ygg ci dessus sur l analyse de l adresse ip: des juges refusent de la considérer comme un element d identité (j avais fait une news). Enfin concernant les textes futurs vous savez ce que j en pense...

[CPC Père Blastor]

@ Baal - 84

Complètement d'accord, j'ai eu un ou 2 exemples parmi mes proches... Bref

Sinon pour aller dans la continuité de mon premier post, clubic a pondu un petit article sur les débuts de la riposte d'Hadopi.

Comme quoi, ça commence gaiement....

le lien:
http://www.clubic.com/telecharger/lo...hargement.html

[jujupatate]

SeedFuck peut être utilisé pour injecter des IP voulues (ministères,imprimantes,IP personnelle,etc..) et c'est là que ça peut faire mal

[Kass Kroute]

Pourtant c'est bien ça. Quand tu commets un délit et que tu utilises le nom d'un tiers si on t'attrape, tu fais accuser qqn d'autre à ta place. Du coup, tu commets une atteinte à l'action de la justice, une entrave à l'exercice de la justice etc...

"Des crimes et délits contre la nation etc...", j'imaginais tout de suite des vilains espions tentant de voler la recette de la sangria au Petrolan de Borloo...
Merci pour la précision

Sinon, toujours en parlant d'ip, il semble que les premiers serveurs de collecte d'adresses de tipiakeurs soient en route.
C'est qui qui disait "Si ça a une ip, ça peut mourir" ?

[SAYA]

http://www.01net.com/editorial/51538...e-anti-hadopi/

Un autre point de vue.

[Reizz]

http://www.01net.com/editorial/51538...e-anti-hadopi/

Un autre point de vue.

Je persiste moi à penser que l'utilisation de seedfuck est une apologie au piratage informatique avant de parler d'usurpation. Le tracker pourra aussi se retourner contre l'utilisateur de seedfuck pour ça :

Article 323-2
Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 300 000 F d'amende.

Le tracker peut empoisonner lui même ses données pour attirer les antihadopistes s'il veut mais qu'un tiers fasse des requêtes bidons mettant en péril la disponibilité du tracker et l'intégrité de ses informations ça n'est absolument pas acceptable.

[Shamu]

Sauf que justement, seedfuck simule également l'envoi de paquet et se fait passer pour un peer légitime tout comme d'autres logiciels qui permettent de truquer le ratio.
Ensuite, s'ils doivent vérifier qu'une source envoi bien un paquet, faudrait aussi contrôler le contenu du paquet. Parce que des faux paquets, c'est aussi facilement faisable.

Le principe de base du P2P est que les clients demandent les morceaux de fichiers aux autres à partir de la liste des clients.

la "machine hadopi" va donc essayer directement d'ouvrir une connexion sur l'IP injectée pour voir si elle envoie des paquets.

Or, la machine correspondant à cette IP (à condition qu'il y en ait une) n'écoute pas et la connexion échouera si l'ip a été injectée.

Il n'y a aucun moyen de "simuler l'envoi de paquets" depuis l'ip en question car :

• Le spoofing IP ne fonctionne que dans l'autre sens et est généralement bloqué par les FAI
• L'ARP poisoning ne fonctionne qu'en LAN mais pas sur la toile.

Donc non... je doute que ce truc puisse "simuler l'envoi de paquets".

Mais même en admettant qu'il y arrive... comment un client bittorrent classique pourrait-il savoir que le paquet est à rejeter car il contient du "bruit" et qu'il ne faut donc pas l'inclure dans les fichiers sous peine de les rendre corrompus et illisibles ?

Mais même en admettant que le client bittorrent arrive à savoir qu'il faut rejeter le paquet avec une méthode X... la "machine hadopi" n'aurait alors qu'à utiliser la même méthode X, retour au point de départ.

Bref d'un point de vue technique, cette méthode de vérification me semble relativement bonne, mais elle a toutefois une faille si le client connaît l'adresse ip de la "machine hadopi" et la bloque dans son firewall, ce qui semble être la "solution" la plus simple pour pas se faire prendre.

[Flipmode]

Donc en fait (après avoir lu cette news) ce prog c'est juste une impasse de plus... on tente un truc pour ralentir hadopi mais ce truc n'est pas plus légale ou on en sait rien... autant télécharger illégalement(ou ne pas télécharger hein) pour l'instant ça allègera la peine -_-

[Baal-84]

Ca dépend, si tu es honnête ça n'a jamais été une solution valable Si tu es malhonnête ça doit quand même vachement réduire les chances de se faire choper, déjà qu'elles sont pas bien grandes ...

[wushu_calimero]

Ca dépend, si tu es honnête ça n'a jamais été une solution valable Si tu es malhonnête ça doit quand même vachement réduire les chances de se faire choper, déjà qu'elles sont pas bien grandes ...

Mode vieux con raleur pessimiste:

Quand (et si...) le reste des décret d'Hadopi sortiront, notamment ceux sur sur les-spyware-qui-n'en-sont-pas-mais-qui-sécurisent-ton-PCay-pour-ton-bien, SEEDFUCK pourrait bien poser pb:

-> il appartiendra à tout à chacun de faire la preuve ( en effet, on aura une preuve que l'IP a été utilisée (constat hadopi etc..), et via le FAI, de l'identité du titulaire et que donc, matériellement parlant l'IP X a servi a faire des actes illicites vis à vis du droits d'auteur; c'est comme être flashé, a priori si ta caisse est flashée, tu payes l'amende, sauf si tu prouves que pour X ou Y raison, cépapossible) que son utilisation est conforme à la loi grace aux logiciels de protection.

Donc, pas de logiciel Hadopi approoved = pas moyen de sécuriser (au sens hadopi) son PC, et donc bien plus dur de prouver que notre IP constatée par les ass ermentés Hadopi n'a pas servi dans un usage que la loi la morale et le ministre répouvent.

conclusion en Mode vieux con raleur pessimiste: seedfuck pourrait faire plein de dommages collatéraux (et ruiner l'état en frais d'AR)...

a voir ensuite si il y aura des moyens de défense etc...

[wushu_calimero]

tiens d'ailleurs:

http://www.lemonde.fr/technologies/a...or=AL-32280151