jeudi 12 août 2010

Interlude d'actualité

"Un peuple qui a quarante mille lois n'a pas de loi."
– Honoré de Balzac

En attendant la deuxième partie de mon compte-rendu du SSTIC, je ne peux pas m'empêcher de commenter l'actualité récente. Et je ne parle pas de la faillite du site Jiwa (dont Sid s'est très bien fait l'écho), même si mon sujet est connexe : il s'agit du cahier des charges afférent aux Mesures Techniques de Protection, censées protéger l'internaute des foudres d'HADOPI.

Bien que ce document soit marqué "confidentiel - ne pas diffuser" et distribué au compte-gouttes, Numerama s'est néanmoins permis de le publier en accès libre – ce qui permet de le commenter. Espérons que chaque copie ait été "watermakée" :)

Comme prévu, les solutions envisagées sont :

  • soit l'installation d'un logiciel sur le poste de l'utilisateur ;
  • soit l'installation d'un logiciel dans la Box du client.
Et comme cela était malheureusement prévisible, il n'est pas fait mention de la sécurité des processus de développement, ni des méthodes de vérification/certification applicables. On s'oriente donc à nouveau vers des logiciels développés en C (ou en PHP) par des stagiaires, avec tous les risques (démontrés) que cela comporte. Cela promet néanmoins des développements juridiques intéressants.

Mais compte-tenu du fait que les premiers emails seront envoyés bien avant la disponibilité de ces fameux outils de protection, on peut compter sur le fait que l'ensemble des internautes concernés feront profil bas … gratuitement et sans risque !

La mise à disposition d'un logiciel destiné aux postes Windows est de toute façon inutile : il restera possible de regarder du streaming sur son iPad, et Apple refusera de signer et/ou diffuser l'application HADOPI, conformément à sa politique. Il restera donc à légaliser le jailbreaking en France et à diffuser l'application HADOPI sur Cydia :)

L'intégration à la Box du client est une solution plus intéressante. Elle est toutefois trivialement contournable, puisque rien n'oblige le client à utiliser la Box de son FAI. Ni à utiliser le logiciel fourni par son FAI, le logiciel de la NeufBox 4 étant par exemple recompilable presque entièrement à partir des sources. Sauf à placer un TPM dans chaque Box, il sera donc impossible de contrôler l'équipement de connexion utilisé par les clients.

*
* *

Une autre actualité intéressante est la décision de justice obtenue par l'ARJEL, qui impose aux FAI de filtrer le site de paris en ligne www.stanjames.com. Notez que l'ARJEL a invoqué la protection des mineurs et la lutte contre le financement du terrorisme pour arriver à ce résultat. Ça marche à tous les coups (ou presque).

A titre personnel, il me semble extrêmement hasardeux de jouer sur un site qui n'a pas été agréé par l'ARJEL. L'ARJEL compte d'excellents techniciens. Les exigences de sécurité produites sont sérieuses et vérifiées avec soin, ce qui permet d'éviter de nombreuses fraudes.

Néanmoins cette décision relance encore une fois le débat sur la neutralité du Net. Il est évident que si l'ARJEL crée un précédent juridique, toutes les personnes ayant connu des déboires en ligne (éditeurs de contenus, hommes politiques, scientologues, et autres) vont s'abattre sur Internet comme la vérole sur le bas-clergé.

Accessoirement, en fonction des mesures effectivement mises en place par les FAI (ou pas), je vous laisserai vous exprimer dans les commentaires pour suggérer les méthodes de contournement les plus élégantes. Mais le fond du débat n'est pas technique. D'ailleurs il semblerait que cette fois-ci, l'éditeur du site se soit sabordé de lui-même.


*
* *


Ces deux actualités laissent à penser qu'on s'oriente vers la nécessité de disposer d'un équipement de connexion "approuvé" pour pouvoir accéder à un Internet dont le contenu est soigneusement contrôlé. Ça ne vous rappelle rien ? Ça n'est sans doute pas pour rien que le pôle Sytem@tic a donné des sous à Archos pour construire le Minitel 2.0 !

"Corruptissima republica plurimae leges"

Promis j'arrête les citations :)

8 commentaires:

Sid a dit…

L'ARJEL compte d'excellents techniciens.
Dommage qu'elle ne fasse pas appel à eux pour aider des huissiers à faire la différence entre un registrar et un hébergeur...

http://ownilive.com/2010/08/09/arjel-confusion-entre-registrar-et-hebergeur/

Kevin a dit…

Je rappelle de plus que ce logiciel Hadopi ne sert à rien:
-hadopi ne peut pas t'obliger à l'utiliser
-En cas de litige avec la Hadopi, aucun logiciel de sécurisation ne peut servir à s'exonérer de la sanction. cf http://exploitability.blogspot.com/2010/06/dessine-moi-une-hadopi.html

Donc, au delà de l'aspect technique, à quoi sert ce logiciel, finalement? -Sécurisation? de quoi?
-Flicage? Pourquoi?

mr potatoe a dit…

Oui mais qu'en est-il si le mouchard Hadopi sur la box integre son propre certificat acheter chez verisign ou autre pour faire du Mitm :).

De meme, une floppee de certificat emanant de certains ministere francais sont intaller par defaut avec windows depuis quelques temps, qui nous dit qu'il ne servent pas la aussi a faire du mitm sur les connexions chiffree (cela dit si je devait faire un mouchard, pareil je capture les datas avant chiffrement).

newsoft a dit…

@Sid: c'est toujours le même problème, on préfère sous-traiter plutôt que d'exploiter les compétences en interne :)

@Kevin: répétition grandeur nature pour LOPPSI ? ;)

@potatoe: c'est effectivement une technique utilisée depuis longtemps par tous les vendeurs d'interception légale que j'ai pu rencontrer au salon Milipol. D'où l'utilité d'une extension FireFox pour vérifier auprès d'un "notaire" en ligne que le certificat reçu est bien celui du site (ex. Perspectives, Certificate Patrol, etc.)

VladK a dit…

@potatoe: le déchiffrement SSL serait techniquement possible, mais avec le nombre de paranos qui existent (qui m'a dénoncé?), cela serait vite repéré (s'il était généralisé), car le certificat est signé par l’AC MiTM. Scandale assuré (sauf si c’est dans la loi...).
De plus, je n’imagine même pas l'infra qu'il faudrait pour assurer le déchiffrement SSL de tous les internautes français. La facture en Ironport ou Bluecoat risquerait d'être salée (demain je jetterai un oeil sur les perfs annoncées en déchiffrement SSL, histoire de me faire une idée).
Enfin, pour un coût global raisonnable, il faudrait effectivement intégrer le déchiffrement SSL et les blacklists dans les box, d’où ma seconde question.

@tous: que pensez vous de cette annonce : http://fr.readwriteweb.com/2010/08/05/nouveautes/google-verizon-net-neutrality/#comment-15090
Hoax ou avenir annoncé ?

newsoft a dit…

@VladK: on verra bien ...

Si toutes les Boxes sont verrouillées, il restera l'Internet par satellite :)

Kevin a dit…

@VladK:
"De plus, je n’imagine même pas l'infra qu'il faudrait pour assurer le déchiffrement SSL de tous les internautes français."

Deux idées:

1/ La première solution est simple; dans la BOX un simple logiciel basique qui ne fait que du relevé de consommation réseau: IP src, dest, port et volume de données échangées. Sur la machine de l'internaute, le mouchard classique, et qui communique avec le mouchard dans la BOX. Lors des décalages en volume, les relevés de la BOX sont suffisants pour prouver le défaut de sécurisation... En grattant un peu, cela fera des preuves à charge, genre: "oh, les 700Mo d/l sur un site de NTTP over SSL non analysés par le mouchard du PC, mais qu'était-ce donc?"

Et pour ça, même pas besoin de grosse structure de calcul, il suffit que le mouchard du PC relève les compteurs de la BOX les compare et les envoie. Le mouchard du PC a de la puissance pour analyser tout ce qui lui arrive.


2/ L'autre solution, plus gourmande et plus lourde à mettre en oeuvre consiste à utiliser ce mode à double mouchard et ne laisser passer que les flux 'analysables'. Comme HTTP, ou des P2P dans lequel la box peut facilement parser les fichiers téléchargés. Le reste, c'est interdit. Pour les communications chiffrées, il faudra un accord. Genre le télétravailleur veut monter son VPN, il doit tout d'abord fournir à son FAI l'IP destination du VPN et il ne pourra en faire qu'avec cet hôte distant.

VladK a dit…

Suite à la présentation de ZScaler mardi, quid d'une solution mixant cela avec un genre de "policy based routing" pour forcer le passage par ce proxy depuis la box de l'opérateur ?