Ufologie & Paranormal

Bonjour,

Nous vous souhaitons un excellent surf sur les pages du forum. Le forum est en libre participation pour les non-inscrits. Une inscription donne néanmoins droit à nombreux avantages :

- Pas de pub
- Un pseudonyme réservé
- Un accès à l'ensemble des catégories
- La participation à la vie du forum
- Participation à nos concours
- Un outils précis pour organiser vos lectures, vos interventions.

Au plaisir de vous compter parmi nos prochains membres.

Le Staff.
Nouveau ! Le forum est en libre participation pour les non-inscrits.

  • Poster un nouveau sujet
  • Répondre au sujet

Le cahier des charges du spyware Hadopi fuité en à peine deux jours

Partagez
avatar
Robot U&P
Robot d'animation

Nombre de messages : 4579

Le cahier des charges du spyware Hadopi fuité en à peine deux jours

Message par Robot U&P le Jeu 5 Aoû - 12:44

(Source : readwriteweb)



Cette éton­nante stra­té­gie consis­tant à réser­ver le cahier des charges aux seules entre­prises approu­vées par Hadopi du très attendu spy­ware Hadopi, censé garan­tir la sécu­ri­sa­tion deve­nue obli­ga­toire de la connexion inter­net des citoyens français, est riche d’enseignements.

Le pre­mier d’entre eux, quelques jours à peine après que 90.000 docu­ments secrets de l’armée amé­ri­caine aient fui­tés sur Wikileaks, est la confir­ma­tion que l’on a à faire à une admi­nis­tra­tion qui n’a toujours pas saisi ce à quoi elle fait face.

Une mise à dis­po­si­tion du public du docu­ment aurait évité un énième couac de com­mu­ni­ca­tion à Hadopi – quitte à contour­ner la loi des appels d’offres, ce n’est pas comme si cette admi­nis­tra­tion et les légis­la­teurs qui l’ont mis en place n’avaient pas, à de très nom­breuses reprises, pris des liber­tés avec le droit.

Top départ

A peine quelques heures après avoir annoncé que ce cahier des charge serait tenu secret, ce der­nier fai­sait le tour de nom­breuse orga­ni­sa­tions de hackers, qui bien évidem­ment se sont empressé de les com­mu­niquer à la presse (en tout cas à RWW et Numérama, et pro­ba­ble­ment à Korben et PCinpact).

Au sein des dif­fé­rentes orga­ni­sa­tions, c’est l’annonce d’un départ immi­nent. Le pre­mier qui réus­sira à tor­piller le dis­po­si­tif est assuré d’une gloire mon­diale et d’un sta­tut de demi Dieu au sein de l’internet Français. Hacker Croll a visi­ble­ment sus­cité des voca­tions, et nom­breux sont les fren­chies sur les rangs, mais on peut parier sans risques que les Russes et les Américains ne res­te­ront pas inac­tifs. La France, avec Hadopi, est consi­dé­rée par la plu­part comme étant le beta test de ACTA ce qui lui donne une expo­si­tion mon­diale, et motive les pirates de tous les pays.

Un peu par­tout dans le cahier des charges, on retrouve d’ailleurs cette crainte d’être la cible d’attaques infor­ma­tiques, et cer­taines sont évoquées ça et là, lais­sant aux mal­heu­reux pres­ta­taires qui s’aventureraient à appor­ter une réponse le soin de palier au problème.


« l’application devra se pro­té­ger contre les dif­fé­rentes attaques qui ne manque­ront pas de sur­gir contre elle– même. Elle devra détec­ter des logi­ciels de contour­ne­ment, etc. » […] « les mises à jour sont un pro­blème cru­cial. Elles doivent être sécu­ri­sées et le ser­vice de mise à jour ne doit pas pou­voir être vic­time d’une attaque DDoS (déni de ser­vice distribué). »

Dans la mesure où l’on peut parier sur l’apparition de plu­sieurs solu­tions label­li­sées Hadopi, les failles seront néces­sai­re­ment mul­tiples, et les attaques fai­sant l’objet d’une com­pé­ti­tion inter­na­tio­nale, tout laisse à croire que l’année à venir sera riche en désa­gréables sur­prises pour les mal­heu­reux inter­nautes apeu­rés qui auront ins­tallé un spy­ware Hadopi. Les socié­tés ayant col­la­boré avec l’administration en charge de lis­ter les inter­nautes cou­pables de par­tage ne devraient pas être en reste non plus.

Le grand retour des DRM annoncé en filigrane

Plus sur­pre­nant, alors que ces der­niers étaient cen­sés avoir été défi­ni­ti­ve­ment aban­don­nés lors du vote de la loi Hadopi, le docu­ment fait allu­sion à plu­sieurs reprises au retour pro­chain des DRM. Les pro­messes n’engagent que ceux qui les écoutent, et il semble que l’abandon des DRM n’ait été au final qu’un carotte des­tiné à cal­mer la colère des oppo­sants à la loi (sans grand succès).


« tant qu’il n’y a pas de DRM stan­dard, ou de tech­no­lo­gie d’identification de signa­ture stan­dard et lar­ge­ment déve­lop­pée, cette appli­ca­tion n’appartient pas à cette caté­go­rie [des logi­ciels antispam]« et plus loin : « Ce module [d’analye dyna­mique des flux] réa­lise en temps réel une ana­lyse contex­tuelle et syn­taxique des flux du contenu (sans ana­ly­ser le contenu séman­tique des fichiers, dans la mesure où ne sont pas ana­ly­sés à ce jour les attri­buts de DRM ou les empreintes des conte­nus des fichiers légaux) »

Le rédac­teur de ce docu­ment, le très contro­versé scien­ti­fique qui col­la­bore avec la Haute Administration et qui est le prin­ci­pal déten­teur (et poten­tiel­le­ment béné­fi­ciaire) de bre­vets per­met­tant de faire usage du Deep Packet Inspection pour fil­trer le réseau français des conte­nus pirates, Michel Riguidel, semble bel et bien consi­dé­rer que l’impossibilité de baser la tech­no­lo­gie du spy­ware Hadopi sur les DRM n’est que tem­po­raire, et qu’une ver­sion ulté­rieure pour­rait tirer parti des DRM.

L’intégration des DRM au sein des dis­po­si­tifs maté­riels, un vieux fan­tasme de l’industrie de la culture, res­sur­git en France.
Une grande confu­sion de ce que l’on peut et ne pas faire avec du libre

La liberté (et le logi­ciel libre) n’est visi­ble­ment pas un concept bien mai­trisé par l’Etat. Albanel avait déjà marqué l’histoire avec le fire­wall OpenOffice, Riguidel pour­rait, pour les rares idiots le sui­vant à la lettre, mener devant un tri­bu­nal de nom­breux déve­lop­peurs. Commercialiser un logi­ciel fait à par­tir de com­po­sants ‘libres’ ne lui pose de toute évidence aucun problème.


« Les moyens peuvent être réa­li­sés à par­tir de logi­ciels libres et/ou fonc­tion­ner sur des sys­tèmes d’exploitation libres » et plus loin : « Lorsque l’application est sous la forme de com­po­sants ins­tal­lés dans les ordi­na­teurs, les télé­phones por­tables, les consoles de jeux, ces com­po­sants peuvent com­por­ter des logi­ciels (pro­prié­taires ou libres) qui peuvent être ins­tal­lés sur des sys­tèmes d’exploitation pro­prié­taires (de type Windows ou autres), ou bien sur des sys­tèmes d’exploitation libres de type Unix ou Linux. »
Un spy­ware indétectable

Le spy­ware Hadopi devra contour­ner les anti­vi­rus et les anti spy­wares édités par les socié­tés qui four­nissent déjà, depuis belle lurette, des solu­tions de sécu­ri­sa­tion. C’est un chal­lenge sup­plé­men­taire, car ces der­niers étant mis à jour régu­liè­re­ment, et l’administration Française ne pou­vant pas vrai­ment comp­ter sur la col­la­bo­ra­tion des éditeurs de logi­ciels de sécu­rité inter­na­tio­naux, il est à pré­voir qu’à chaque mise à jour d’un soft de chez Norton ou Kaspersky, il faille poten­tiel­le­ment mettre à jour le spy­ware Hadopi.

La encore, la mul­ti­pli­cité des offres de spy­wares label­li­sés Hadopi, des confi­gu­ra­tions maté­rielles, et des suites de sécu­ri­sa­tions dis­po­nibles sur le mar­ché, donne une idée tragi-comique de la caco­pho­nie et de la panique qui s’emparera des uti­li­sa­teurs, per­suadé d’avoir été infec­tés par un Trojan, quand Norton confon­dra un spy­ware publi­ci­taire fai­sant appa­raitre des popups de façon intem­pes­tive, avec le sys­tème de sur­veillance des citoyens imposé par l’administration française.
Parler à Mme Michu

Tout spé­cia­liste de la sécu­rité vous le confir­mera, le pro­blème réside la plu­part du temps entre le cla­vier et l’écran. L’utilisateur, en par­ti­cu­lier de nos jour où le PC est répandu dans tous les foyers, ne com­prend la plu­part du temps abso­lu­ment rien à la tech­ni­cité de l’outil qu’il uti­lise au quotidien.

Pourtant le cahier des charges du spy­ware Hadopi est clair : il fau­dra en cas de faille de sécu­rité détec­tée par le logi­ciel de sur­veillance, don­ner des indi­ca­tions claires sur la façon d’y remé­dier à l’utilisateur final.

« Simone, la confi­gu­ra­tion de votre rou­teur pré­sente une faille de sécu­rité, veuillez fer­mer le port 6996 du rou­teur inté­gré à votre box ADSL »

Pas gagné. Sur ce point, Riguidel semble avouer son impuis­sance puisqu’aucune solu­tion à ce jour pour com­mu­niquer en français cou­rant avec Madame Michu n’est envisagée.


Les moyens de sécu­ri­sa­tion pré­viennent l’utilisateur que les modes et les outils de com­mu­ni­ca­tion uti­li­sés (les URLs, les piles pro­to­co­laires, les ports, les adresses, etc.) sont poten­tiel­le­ment à risque. Une règle de sécu­rité se com­pose de :

  • Une com­bi­nai­son de noti­fi­ca­tions (bas et haut niveau) cou­plées au contexte dans lequel ces noti­fi­ca­tions ont été générées ;
  • Une ou plu­sieurs actions qui per­mettent de cor­ri­ger l’anomalie poin­tée du doigt par la règle ;
  • Une des­crip­tion péda­go­gique per­met­tant à tout uti­li­sa­teur de com­prendre l’anomalie poin­tée du doigt par la règle (et ce peu importe son niveau).


Ces règles doivent être écrites dans une norme com­mune à tous les four­nis­seurs des appli­ca­tions. Le for­mat de ces règles reste encore à défi­nir. Le lan­gage est aussi à définir.
Une dis­pa­rité des envi­ron­ne­ments qui donne le tournis

Particuliers, PME, grandes entre­prises, cyber­ca­fés, lieux public… Windows 95, XP, Vista, Seven, MacOSX Tiger, Leopard, Snow Leopard, et une variété de sys­tèmes libres… Si vous vous sou­ve­nez de vos cours de pro­ba­bi­li­tés au lycée, on approche de l’infinie en terme de com­bi­nai­sons pos­sibles. Ajoutez à cela que le spy­ware Hadopi est censé détec­ter de façon auto­ma­ti­sée, sans l’intervention d’un expert, l’environnement réseau dans lequel il est ins­tallé, qui lui aussi peut s’avérer d’une diver­sité infi­nie, et vous avez pro­ba­ble­ment ce qui fait que 99% de ces cas de figures ne trou­ve­ront pas de réponse, et qu’aucune entre­prise ne va prendre le risque de déve­lop­per un tel monstre pour une pla­te­forme Linux sachant qu’elle n’en ven­dra que 3 exem­plaires à des hackers qui s’empresseront de le décompiler.

Hadopi semble tou­te­fois assez conscient de l’aberration à vou­loir dis­po­ser de Spyware en mesure de s’adapter à toutes ces confi­gu­ra­tions, et se concentre à l’évidence sur un objec­tif à long terme : ins­tal­ler le spy­ware au cœur même de l’installation domes­tique, les box ADSL.

Les confi­gu­ra­tions sont égale­ment com­plexes et très variées, mais Hadopi fait le pari du long terme (c’est à dire de son exis­tence même après 2012), et envi­sage : « l’ inté­gra­tion aux boi­tiers adsl dans le cadre ‘d’un renou­vel­le­ment com­plet du parc’ » et plus loin : « on peut réflé­chir à ces solu­tions pour les futures géné­ra­tions de boi­tiers, dans le cadre du renou­vel­le­ment géné­ral du parc. »

Cerise sur le gâteau, TorrentFreak [url=http://torrentfreak.com/utorrent-web-now-available-on-ipad-and-android-100729/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed: Torrentfreak (Torrentfreak)&utm_content=Netvibes]nous apprend ce matin[/url] que l’iPad et Android dis­posent désor­mais de leurs appli­ca­tions P2P, ajou­tant à la mul­ti­pli­cité des confi­gu­ra­tions qui s’offrent au pirates pour télé­char­ger (d’autant qu’Android sera vrai­sem­bla­ble­ment au cœur de la Google TV).
Orwell avait rai­son… ou pas.

Le logi­ciel étant prévu pour se mettre à jour auto­ma­tique­ment afin de regar­der de plus en plus pré­ci­sé­ment tout ce qui se trans­met au sein du foyer, on s’approche au plus près du cau­che­mar Orwellien d’un sys­tème de sur­veillance ins­tallé dans chaque foyer.

Comme les res­pon­sables de la Hadopi s’y atten­daient, c’est un grand éclat de rire qui tra­verse en ce moment le monde des spé­cia­listes de la sécu­rité infor­ma­tique et des hackers, dou­blé d’un fris­son d’effroi quant aux inten­tions Orwellienne révé­lées par ce cahier des charge.

Mais c’est égale­ment le départ d’une com­pé­ti­tion inter­na­tio­nale où une gloire mon­diale attend les vainqueurs, car pour reprendre Cory Dotorow, la vision Orwellienne qui se lit dans la poli­tique numé­rique de l’Etat Français se base sur une approche erro­née des technologies.

Orwell per­ce­vait la tech­no­lo­gie comme étant au ser­vice des puis­sants, et sur ce point, il avait fon­da­men­ta­le­ment tort (en même temps, l’ordinateur indi­vi­duel n’était pas même ima­giné à l’époque). Face à cette pré­dic­tion, s’oppose désor­mais une armée de l’ombre, prête à défer­ler sur les wanabe dic­ta­tures, et qui lui oppo­se­ront une résis­tance farouche.

  • Poster un nouveau sujet
  • Répondre au sujet

La date/heure actuelle est Mer 22 Aoû - 7:51