LOPPSI 2 ou le retour de la vengeance

[Neo_13]

Tiens, j'y avais pas pensé. C'est carrément l'angoisse là

Moi j'y ai pensé en démarrant une série de brèves sur la sécurité des réseaux...

Et maintenant ça me fait rire... Jaune mais rire quand même.

L'ambiance pour moi n'est plus vraiment à l'optimisme, on l'a dans le ... Jusqu'aux amygdales.

Et je sais pas ce qui me fait le plus rire : humour noir par la prise en compte de plans impressionnants dont le fil ne fait que se dérouler, sans aucune influence des assemblées ou des réactions du public, ou moquerie sur le fait que la plèbe s'en branle intégralement. De l'ensemble.

[exarkun]

Le mouchard ne va pas contenir des infos cachées. Il va juste constituer un joli cheval de troie que n'importe quel hacker, y compris gouvernemental, pourra utiliser pour espionner ta vie privée.

Enfin, si LOPPSI 2 passe et qu'elle contient cette disposition. Pour l'instant, n'oublions pas que rien n'est fait.

Déja il me semble que le programme Hadopi, censé servir de preuve en cas de contestation, sera payant et uniquement disponible pour windows. Donc à part les entreprises, peu de monde va l'acheter. Ensuite, personne ne sait comment il va fonctionner réellement, il est prévu que ce programme soit connecté à un serveur de la Hadopi et collecte les communications entre le pc et internet mais on ne sait pas lesquels : ip, port, protocole sans doute, serveurs, programmes, et vérification des fichiers téléchargé peut être. Quoi qu'il en soit il ne sera pas obligatoire, et je reste persuadé que plusieurs jurisprudence vont faire leurs apparitions rapidement car il s'agit d'une vente forcé avec monopole, ou du moins on peut imaginer un truc dans ce genre.

[Neo_13]

Il n'y a pas vente forcée, mais mission de service public avec un appel d'offre en cours...

Aucune entreprise saine de direction ne va installer ce truc, car c'est un mouchard hors de contrôle et donc une faille de sécurité. Personne ne peut qui quoi comment et quel infos transitent en nominal, et pire en usage back door...

Moi je serais une boite avec un risque identifié là dessus, je fais héberger mes serveurs à l'étrangers et VPN chiffré. Aucune données en clair ne sort de ma boite. Et je fais un communiqué de presse "compte tenu du terrorisme d'état infligé par hadopi sur les français et de l'espionnage induit, volontairement ou pas, mais dans tous les cas, en pleine connaissance de causes et d'effets, je suis forcé de délocaliser mon service informatique à l'étranger (citer le pays, mais s'arranger pour que ce soit pas inde, pologne, chine ou maroc, mais plutot irlande par exemple, moins connoté), licenciant ou déplaçant ainsi xxx personnes . Il va sans dire que les autres services de l'entreprise, non affecté par ce déplacement reste en france."
A adapter selon les cas.

[exarkun]

Il n'y a pas vente forcée, mais mission de service public avec un appel d'offre en cours...

Aucune entreprise saine de direction ne va installer ce truc, car c'est un mouchard hors de contrôle et donc une faille de sécurité. Personne ne peut qui quoi comment et quel infos transitent en nominal, et pire en usage back door...

Moi je serais une boite avec un risque identifié là dessus, je fais héberger mes serveurs à l'étrangers et VPN chiffré. Aucune données en clair ne sort de ma boite. Et je fais un communiqué de presse "compte tenu du terrorisme d'état infligé par hadopi sur les français et de l'espionnage induit, volontairement ou pas, mais dans tous les cas, en pleine connaissance de causes et d'effets, je suis forcé de délocaliser mon service informatique à l'étranger (citer le pays, mais s'arranger pour que ce soit pas inde, pologne, chine ou maroc, mais plutot irlande par exemple, moins connoté), licenciant ou déplaçant ainsi xxx personnes . Il va sans dire que les autres services de l'entreprise, non affecté par ce déplacement reste en france."
A adapter selon les cas.

Tu exagères, déjà à la base toute les administrations vont installer le programme, c'est déja pas mal. Aprés dans le fond personne ne sait ce qu'il va faire ce programme, et je suis sûr que le premier pirate venu va le démonter, le disséquer, et livrer un patch qui va le leurrer, car à partir du moment où c'est une installation logiciel c'est la porte ouverte à toute les modifications et bugs systéme (voir windows genuine advantage). C'est pour ça que je me fais pas trop de souçi.

[Monsieur Cacao]

QUi a dit que le mouchard serait uniquement logicielle ?

Il me semble qu'ils parlaient de l'ajouter aux Box internet. Ils pourraient très bien faire une saloperie matérielle plus difficile à leurrer.

[Neo_13]

Tu exagères, déjà à la base toute les administrations vont installer le programme, c'est déja pas mal. Aprés dans le fond personne ne sait ce qu'il va faire ce programme, et je suis sûr que le premier pirate venu va le démonter, le disséquer, et livrer un patch qui va le leurrer, car à partir du moment où c'est une installation logiciel c'est la porte ouverte à toute les modifications et bugs systéme (voir windows genuine advantage). C'est pour ça que je me fais pas trop de souçi.

Les administrations ? C'est sûr que les perception vont ADORER que n'importe quel pirate un peu efficace puisse, au minimum, sniffer tout ce qui passe.

Même chose pour toutes les boites : ya qu'un débile (je dis ça pour personne ici, soyons clair) qui peut imaginer qu'on accroit la sécurité d'une forteresse en rajoutant une porte certes cachée, mais sans vigile, sans alarme et avec une serrure suffisamment peu solide pour qu'elle pète sans faire de bruit, le tout à l'insu du responsable de la sécurité qui ne peut pas décider de lui même où il mets la porte et placé 2 physio et une armée de videurs à la porte pour dire kikirentre et kikirentrepas, et pareil dans le sens de sortie.

La sécurité d'un réseau, c'est toutes les portes sous contrôle direct et exclusif d'un mec qu'on appelera l'admin, seules les portes strictement requises ouvertes, qu'on appelera ports, des armées de physio et de videurs qu'on appelera parefeu qui filtrent toutes les connexions sur tous les ports, même si "il connait le DJ" ou "il a une bouteille à l'intérieur", ce que nous appelerons Statefull avec suivi de connexion. Et tout ce qui rentre ou qui sort, peu importe la destination, est évalué comme ne remettant pas en cause la sécurité d'une part, la confidentialité d'autre part, et étant nécessaire au fonctionnement.

Quelque soit la gueule du mouchard HADOPI, vu ses fonctions*, il ne remplit aucun de ces 3points.
* : je veux dire vu les fonctions qu'il DOIT avoir, en imaginant des fonctions à minimum du minimum.

[gwenladar]

***

Quelque soit la gueule du mouchard HADOPI, vu ses fonctions*, il ne remplit aucun de ces 3points.
* : je veux dire vu les fonctions qu'il DOIT avoir, en imaginant des fonctions à minimum du minimum.

Si tu veux avoir plsude details sur ses fonctions et propietes, je te renvoi au cahier des charges dudit spyware:
http://www.numerama.com/magazine/129...otentiels.html

En ayant parle au responsable info de ma boite entre 2 portes (vu que mon portable appartient a ma boite) :
Il gelera en enfer avant qu il m autorise a installer la bete!

[exarkun]

QUi a dit que le mouchard serait uniquement logicielle ?

Il me semble qu'ils parlaient de l'ajouter aux Box internet. Ils pourraient très bien faire une saloperie matérielle plus difficile à leurrer.

Tu me files le doute, mais il me semble que c'est pour LOPSI qu'ils veulent mettre un mouchard matériel, il m'a semblé avoir lu qu'un officier de la PJ pourrait pénétrer chez une personne à l'aide d'un serrurier et d'y installer un filtre materiel. Pour Hadopi il me semble que c'est logiciel car ils avaient parlé de vendre le produit exlusivement pour les windows. Aprés ils ont peut être changé d'avis.

[exarkun]

Les administrations ? C'est sûr que les perception vont ADORER que n'importe quel pirate un peu efficace puisse, au minimum, sniffer tout ce qui passe.

Même chose pour toutes les boites : ya qu'un débile (je dis ça pour personne ici, soyons clair) qui peut imaginer qu'on accroit la sécurité d'une forteresse en rajoutant une porte certes cachée, mais sans vigile, sans alarme et avec une serrure suffisamment peu solide pour qu'elle pète sans faire de bruit, le tout à l'insu du responsable de la sécurité qui ne peut pas décider de lui même où il mets la porte et placé 2 physio et une armée de videurs à la porte pour dire kikirentre et kikirentrepas, et pareil dans le sens de sortie.

La sécurité d'un réseau, c'est toutes les portes sous contrôle direct et exclusif d'un mec qu'on appelera l'admin, seules les portes strictement requises ouvertes, qu'on appelera ports, des armées de physio et de videurs qu'on appelera parefeu qui filtrent toutes les connexions sur tous les ports, même si "il connait le DJ" ou "il a une bouteille à l'intérieur", ce que nous appelerons Statefull avec suivi de connexion. Et tout ce qui rentre ou qui sort, peu importe la destination, est évalué comme ne remettant pas en cause la sécurité d'une part, la confidentialité d'autre part, et étant nécessaire au fonctionnement.

Quelque soit la gueule du mouchard HADOPI, vu ses fonctions*, il ne remplit aucun de ces 3points.
* : je veux dire vu les fonctions qu'il DOIT avoir, en imaginant des fonctions à minimum du minimum.

Mais ce qui marcherait dans un sens fonctionnerait il pas dans un autre? Dans le fond je m'interroge sur le fait que si on laisse la porte de "derriere ouverte" dans un parefeu et que le logiciel communique avec un serveur dédié à la collecte, quelque part cela ne laisse pas une porte ouverte côté serveur aussi? L'Etat se désengage des problemes de securité si la société chargée de mettre en oeuvre le filtrage se fait pirater, ce qui est assez habile de la part du gouvernement. Enfin bon je m'y connais pas au niveau sécurité mais ils y a tellement de failles!

[Neo_13]

Mais ce qui marcherait dans un sens fonctionnerait il pas dans un autre? Dans le fond je m'interroge sur le fait que si on laisse la porte de "derriere ouverte" dans un parefeu et que le logiciel communique avec un serveur dédié à la collecte, quelque part cela ne laisse pas une porte ouverte côté serveur aussi? L'Etat se désengage des problemes de securité si la société chargée de mettre en oeuvre le filtrage se fait pirater, ce qui est assez habile de la part du gouvernement. Enfin bon je m'y connais pas au niveau sécurité mais ils y a tellement de failles!

Je comprend même pas de quoi tu parles. Alors je vais essayer de deviner...

Les serveurs HADOPI, EUX, savent ce qui rentre et sort, qui, quand, comment, où..., ils contrôlent donc leur propre sécurité. Mais la porte ouverte sur ton poste, elle est pas pour HADOPI seulement. Elle est pour Volkswagen sur le réseau de Renault. Elle est pour EADS sur le réseau de Dassault Aviation. Elle est pour n'importe quel team de hacker de haut vol pour le réseau bancaire. Elle est pour la corée du nord sur le réseau du CEA (puisque tu parlais d'administration)... Elle est pour n'importe quel team de hacker un peu doué pour keylogger les pc et récupérer les mdp d'accès bancaires des particuliers (parce que vu ses prérogatives, le mouchard hadopi est forcément avec privilèges d'admin).

Enfin bon je m'y connais pas au niveau sécurité mais ils y a tellement de failles!

C'est pour ça qu'admin réseau, c'est un métier et qu'aucun admin n'ouvre de portes qui ne soient pas STRICTEMENT nécessaire et CONTROLEE... Par lui, directement et sans limitation.

[thauthau]

Voici un bon article sur le sujet paru dans le Mag-IT

http://www.lemagit.fr/article/intern...fallacieux/%27

[exarkun]

Je comprend même pas de quoi tu parles. Alors je vais essayer de deviner...

Les serveurs HADOPI, EUX, savent ce qui rentre et sort, qui, quand, comment, où..., ils contrôlent donc leur propre sécurité. Mais la porte ouverte sur ton poste, elle est pas pour HADOPI seulement. Elle est pour Volkswagen sur le réseau de Renault. Elle est pour EADS sur le réseau de Dassault Aviation. Elle est pour n'importe quel team de hacker de haut vol pour le réseau bancaire. Elle est pour la corée du nord sur le réseau du CEA (puisque tu parlais d'administration)... Elle est pour n'importe quel team de hacker un peu doué pour keylogger les pc et récupérer les mdp d'accès bancaires des particuliers (parce que vu ses prérogatives, le mouchard hadopi est forcément avec privilèges d'admin).

C'est pour ça qu'admin réseau, c'est un métier et qu'aucun admin n'ouvre de portes qui ne soient pas STRICTEMENT nécessaire et CONTROLEE... Par lui, directement et sans limitation.

Non mais je me disais que les serveurs Hadopi vont se faire hacker par les russes.

[Neo_13]

Non mais je me disais que les serveurs Hadopi vont se faire hacker par les russes.

Pour faire quoi ?

Et en plus eux, ils ont la maitrise de leur système, contrairement à ceux frappé par les mouchards.

[Lapinaute]

Pour faire quoi ?

Et en plus eux, ils ont la maitrise de leur système, contrairement à ceux frappé par les mouchards.

X cause avec m. Mouchard :
"Bonjour m. Mouchard je suis hadopi, déroulez le tapis rouge."
*flapflapflap*

[Guig Esprit du Sage]

La meilleure façon de lutter et c'est aujourd'hui... En allant voter.

[Lapinaute]

Mouais...

http://www.youtube.com/watch?v=t55CC7U82nc

[Siouxsette]

Désolé pour le remontage de topic, mais il y'a plusieurs choses alarmantes, la pétition de la ligue Odebi qui ne décolle pas, et les médias traditionnels qui ne parlent absolument pas de la loppsi.. (peut être faute d'accroches du genre " déja xxxxx signatures sur la pétition machin, en opposition au projet de loi loppsi")

On prend la voie d'un Net a la Chinoise, et rien de concret ne perce dans le débat politique, c'est quand même affligeant!h34r:

Il semble urgent de sensibiliser le public, hors, sur le net, il y'a ceux qui y sont déja sensibles, et ceux qui oscillent de leur boite hotmail aux forums de tf1, avec en plus l'occasionelle recherche d'un cadeau pour tata monique et de comment guérir magiquement l'hydrocéphalie sur doctissimo, sans toubib ni marabout..

Bref, on prèche dans le désert, et a des convaincus, le tout dans le même temps!

Que penseriez vous de pondre un tract, genre en papier, à distribuer IRL, écrit sous licence créative commons ou gpl, histoire de se laisser le droit de l'enrichir et de l'améliorer?

J'imaginais un truc sur deux colonnes, genre ce que la loppsi propose,puis ses conséquences directes
(censure d'état, sans autorité judiciaire, privauté du courrier envolée (ben oui, si on reconnait de plus en plus les démarches administratives par le net, alors les mails et le courrier papier ont légitimement une valeur approchante, même plus ou moins aux yeux de la loi))

Ensuite, pour la distribuer, j'imagine qu'il vaut mieux viser large, jours de marchés, lycées, collèges, centres commerciaux revendeurs informatiques, etc.
(et éviter de confier la mission de tracter pour ceux qui ressemblent trop à Stallman, avec ma barbe, et mon bide, je risque plutôt de faire peur aux mémés.. plutôt aux gens à l'apparence rassurante, et ou aux jeunes filles en fleur...)

Il serait bon aussi d'insister que pour toute la partie qui dépend d'un juge d'instruction, vu que tout est en route pour le faire sauter, ça risque fort de devenir une simple formalité administrative au près du procureur..
(mais légèrement, et de façon succincte (et ça je ne sais pas faire, je crois)

Je doute que les gens, une fois sensibilisés, continuent à ne pas se poser la moindre question, même si ils ont très peur des pédophiles, sachant qu'on s'apprête a rendre légal la lecture de leur courrier, sans contre pouvoir objectif etc.,

Bref, SI, et seulement SI, le débat public à lieu, et pas un simulacre de débat public, à deux jours de la lecture a l'assemblée, qui ne laisserait pas le moindre temps à l'opinion publique pour espérer peser dans la balance, alors il y'a encore de l'espoir!

J'ose espérer qu'il "suffit" de pondre un corpus de textes clairs, simples, conçis, ET précis...

Expliquer que par exemple, les pédos, tout pervers qu'ils soient, ne manqueront pas moins, voire ne manquent déja pas, de prendre quelques précautions, et que les éventuels dingues qui écriraient en clair leurs intentions, actions, lieux de rdv etc, cesseront tout simplement de le faire, mais probablement pas le moins du monde de pratiquer, et que par là même, le flicage systématique des courriers n'aboutira qu'au flicage pour l'écrasante majorité de citoyens honnêtes,

Et que par contre, en l'absence d'autorités réellement indépendantes, de contrôle de ce flicage, l'aboutissement pour ces honnêtes citoyens, entreprises, etc, ce sera une compromission encore plus grande de leurs données personnelles, techniques, ou commerciales, etc...
Qui peut croire, que si les fliqueurs ne sont pas fliqués, aucun ne monnaiera d'éventuels secrets de production ainsi découverts..
Bref, entre autre, une autoroute à l'espionnage industriel, risque déja très fréquemment sous estimé en France

Et puis pour l'aspect anti terrorisme, expliquer à quel point c'est une vaste blague que d'imaginer que cela gênera le moins du monde des gens qui se contraignent déjà aux rigueurs de la clandestinité, qui ont des mouvements organisés depuis belle lurette, cloisonnés, etc..
Peut on décemment imaginer qu'eux aussi communiquent en clair, tel de gentils kikoolols aux hormones bouillonnantes?

Imaginez "Ksandra, tu veut ma cam? Hiiiinnnnnnnnnnn!" biactol inside, mais en basque, et parlant d'une planque, ça tient la route, pour vous?


Faudrait voir a pas les prendre pour des clowns non plus..., par contre, fliquer tout les clowns, d'une façon qui n'inquiétera certainement pas les gens qui sont de longue date organisés pour rester low profile, a quoi bon...

Il faut sensibiliser maintenant, se contenter de prier pour que le conseil constitutionnel fasse œuvre de sens commun pourrait ne pas suffire...

Il faut défendre la démocratie contre ceux qui par leurs actes comptent la défendre comme la Deutsche Demokratische Republik la défendait en son temps, en installant la STASI...

(sans vouloir de points Godwin, avec les moyens actuels, une dictature militarement supérieure à ses opposants, tant intérieurs qu'extérieurs, à votre avis, elle serait déboulonnable par la volonté du peuple? (avec ou sans effusions de sang hein, que ce soit 1789 ou chute du mur style)

Mis à part ça,l'orwellothon, ça en est ou?
Et autre question, l'utilisation de Freenet, ça demeurera légal?


Hs:désolé pour mon premier post un peu pavé, on se présente quelque part sur ce faux rhum?

[Grand_Maître_B]

Tout d'abord, salut à toi !!

Effectivement, une initiative Orwellothon est née mais elle peine à décoller. Toute tentative décentralisée de réunir du monde autour d'une action est toujours extrêmement difficile. Ceci étant dit, je laisse les autres membres de cet estimé forum donner leur avis sur la question.

[Siouxsette]

En tout cas, ajoutez moi, pour l'Orwellothon...

(le lien donné quelque part dans le thread dédié m'amenait vers une page réclamant un identifiant..., il y'a besoin d'un site dédié, pour ce genre de choses...)

(ah jubliais, pour le tract, un point crucial, la vérifiabilité, donc des citations du projet de loi, ou des renvois aux paragraphes résumés dans le tract)

Mais j'ai peur que ce soit mission impossible d'obtenir quelque chose de court, de digeste, et de clair (si on fait trop conçis, y'a de quoi passer pour des paranos a chapeau d'alu, tellement ce que renferme ce projet de loi est gros...)

En tout cas, appel a tous!

(et merci pour l'accueuil, oh maître des lieux!)