Hadopi et les pirates

Avec Hadopi II, le mot Pirate est à l’honneur en ce moment, derrière ce mot et la façon dont il est utilisé on lui entend la connotation la plus péjorative possible, celui qui pille et détruit. Les propos de la SACEM à ce sujet sont particulièrement éloquents :

 

« Alors qu’année après année, mois après mois, leurs revenus fondent sur le marché phonographique sans que les services en ligne ne compensent ces pertes, du fait tout particulièrement de la piraterie, ils appellent solennellement la Représentation nationale à prendre ses responsabilités pour répondre à cette exigence de justice. »

 

Le mot PIRATE est dans toutes les bouches sur les chaînes télévisées … mais qui est ce pirate ? Selon le dictionnaireje trouve ceci :

“Un pirate est un individu qui pratique de manière répétée le vol avec violence, le pillage et le crime en milieu extérieur”

Pour ma part dans le monde Internet, je connais trois sortes de personnes téléchargeant illégalement, que je vais vous décrire :

 

* Celui qui fait de l’argent avec le téléchargement, il télécharge des oeuvres, les grave puis les revend; à vrai dire cette espèce est plutôt rare (depuis que les graveurs sont monnaie courante) ou ne concerne que des domaines particuliers comme les jeux sur console, qui bien que plus touchés que l’audiovisuel, ne sont pas dans le giron de la lois. Bref, on parle là, pour le coup, de 5 gus dans un garage. Je classe celui-ci dans le pirate malhonnete à tendance mafieuse même si en général il ne s’agit que ados boutonneux en mal d’argent de poche.

 

* Celui qui collectionne : le gars un peu bete qui mesure son importance sociale au nombre de mp3/divx qu’il a sur son disque dur ; éléments qu’il ne visionera jamais et qu’il n’aurait par ailleurs jamais acheté. Je classe cette catégorie plus nombreuse dans le royaume de la bétise humaine auquel la lois n’apporte rien mais où le manque d’éducation est flagrant. Son seul danger et qu’il facilite les échanges de la dernière catégorie en leur proposant des archives importantes et souvent de qualité.

 

* Enfin, monsieur tout le monde, celui qui se contente de télécharger une dizaine de CD à l’année pour son usage personnel, un titre lui a plu à la radio, il lui est plus simple de le télécharger que de l’acheter alors il le fait. Il achetera d’autres CD surement d’auteur qu’il connait mieux en faisant ses courses samedi chez Auchan … Il se sert sur emule comme il y a quelques années il confiait une K7 vierge à un ami pour lui copier un disque. Lui, il est la masse, il represente 90% de la population et il est la cause de la baisse des ventes, mais il est aussi la raison du succes de chaque artiste et aussi le premier acheteur d’élément audiovisuels. Celui que l’on appele PIRATE, c’est lui, tout le monde,  les français dans leur immense majorité.

 

Je pense que les Français demandent un minimum de respect et que me lance la pierre le Français, qu’il travaille à la SACEM ou qu’il soit élu politique ou juge, qui n’aura de sa vie jamais copié une K7 audio ou video, un CD, echangé un mp3 avec un ami ou dupliqué une VHS.

 

Je ferai un parallele avec les excès de vitesse et les pirates de la route, il y en a trois catégories:

* Ceux qui font usage de la vitesse pour perdre la police alors qu’ils transportent de la drogue par exemple

* Ceux qui roulent vite, au dela de la vitesse de façon récurente, par pur plaisir sans se soucier du risque qu’ils font prendre aux autres

* Monsieur tout le monde qui depasse la limite de 5km/h voir 20km/h de temps à autre

 

Hadopi veut instaurer le radar automatique de l’Internet, dans tout ce qu’il y a de plus inégalitaire et idiot où le couillon de passage se fera avoir alors que les deux premières catégories sauront éviter l’obstacle. A la difference près que pour cet exces de 5km/h, Hapodi enlève au chauffeur, à sa femme et ses enfants, à la fois leur voiture mais aussi leurs vélos et leurs abonnements de bus durant 1 année. Est-ce cette société que nous souhaitons ; est-ce ces personnes les affreux pirates tant décrié ces jours ci ?

 

Le mot PIRATE est à mon sens une maniere d’orienter l’opinion publique, bon nombre se diront que si l’on parle de PIRATE, alors on ne parle pas d’eux ce qui est absolument faux. C’est bien de nous tous que l’on parle ainsi ! La lois est faite pour nous tous sans elle ne sera d’aucune utilité. Sera-t-il possible un jour d’avoir sur un média de masse l’intervention d’une personne expliquant HADOPI dans ces termes, à savoir ce dont il s’agit exactement et quelles en sont ses conséquences pour notre société plutot que des discours idéologiques ?

 

Hadopi et son avocat virtuel

Petite reflexion ce matin à l’occasion de l’Hadopi 2 concernant les mesures de précaution associées à l’HADOPI, vous savez, je veux parler de ce logiciel que vous allez pouvoir installer sur votre PC pour prouver que vous n’êtes pas l’auteur des téléchargement illégaux… D’un point de vue de néophite, j’oserais presque dire de politique, cela pourrait tenir debout : on vous accuse, vous sortez les logs et vous êtes disculpés ou non… Seulement d’un poitn de vu technique il en est tout autre.

Le seul point captant toute l’information est le point d’accès wifi, la “box” comme on dit. Hors il n’est pas prevu que le logiciel soit installé ici et par ailleurs l’espace de stockage des log rendrait l’équipement bien plus couteux. Par ailleurs la diffusion de ce “spyware” dans tous les equipements réseaux (tout le monde n’utilisepas des box d’operateurs mais aussi des modem d’autres marque) n’est pas simple à envisager. C’est donc au niveau de chaque PC qu’un soft doit être installé. La seule preuve que le logiciel pourra ainsi apporter et que le pirate n’a pas agit depuis le PC en question (et encore, je passe sur les techniques de virtualisation) et d’aucune façon que le propriétaire du dit PC est innocent.

Rien ne l’empeche, en effet, d’avoir un autre équipement pour le téléchargement, je donne quelques exemple : le vieux PC désuet mais suffisent à cet effet, un netbook, un téléphone portable relié au wifi familial, une console…. autant d’équipements sur lesquel, de toutes façon, Hadopi ne fournira pas de spyware et qui ne laisseront aucune trace visible depuis l’Internet

Je trouve interessant de constater que la solution de “protection” du citoyen, prévu pour le disculper, n’est en aucun cas une preuve de son inocence.

Si toutefois, comme je le ferai, le citoyen n’installe pas ce spyware Hadopi, mais est à même de fournir des logs complets et exhaustifs de ce qui sort de son reseau pour entrer sur l’internet (par de vrai moyen techniques, efficaces et reconnus dans un univers de sécurité professionnel), il ne pourra justifier de son innocence.

S’il vous plait messieurs les politiques, laisser la technique aux professionnels, sortons de l’ameteurisme technologique et idéologique.

Une leçon du film Home

En plein débat sur Hadopi, le film Home nous apprend deux choses à mon sens, ceci non en rapport avec son contenu mais plutot avec ses ventes, alors que 9,5 millions de personnes l’ont suivi sur France 2, que 1,3 millions de personnes l’ont vu sur Youtube et qu’il s’avere tout de même que le film connaît un très bon démarrage de vente de DVD, en atteste les ruptures de stock dans les magasins Fnac et les 80% du stock vendu en 2 jours (dur de trouver un chiffre exact, si quelqu’un peut m’aider …).

La première concerne le prix du DVD, il semble évident qu’à 5€ les gens se déplacent pour acheter, beaucoup plus qu’aux 25-30€ habituels. Le facteur prix serait bien un element de décision important contrairement à ce que l’industrie à l’air de penser… Un peu comme pour les cinémas d’ailleurs.

La seconde concerne la gartuitée : ce n’est pas parce que quelque chose est gratuit et librement téléchargeableque les gens ne vont pas l’acheter, lorsque d’une part la qualité est au rendez-vous et que d’autre part l’offre de prix est en rapport avec la demande.

Comme quoi avant d’engager des lois liberticides, il serait peut etre bon de revoir ses bases de marketing, ecouter sa clientelle… Qui sait, certains pourraient gagner plus en vendant moins (cher)

CQFD

En complement:

http://www.mediapart.frhttp://blogs.mediapart.fr/blog/laurent-chemla/090709/benabar-le-libertaire-de-l-internet-regule

Mes déboirs Ameli.fr

Je suis lassé de recevoir toutes les semaines des relevés de comptes de la Sécu, avec 1 enveloppe, 1 timbre, 3 feuilles et au moins autant de pub pour cet organisme alors que l’on entend toujours parler de son trou abyssal…
J’ai donc été heureux de découvrir l’existence d’ameli.fr, le site de la sécu permettant de faire du zéro papier ! je me suis donc précipité dessus pour m’y enregistrer … mais là commence l’horreur, la procédure semble des plus banales, saisir sont numéro de sécu et un code présent, selon la page, sur les relevés reçus … hors sur ces relevés .. rien, mais alors rien du tout !! Bref, mon élan est brisé et 15 minutes perdues à chercher ce fameux code… courageux et motivé (comme sans doute pas plus de 10% des Internautes) je choisis d’attendre que l’on m’envoie par courrier un nouveau code secret temporaire. Jusque là, tout va déjà mal mais bon …
10 jours plus tard, à la réception du code, je tente donc une nouvelle inscription, le code donné fonctionne et je passe à la seconde étape me demandant de changer mon mot de passe. Je saisis donc de nouveau le code temporaire (mais pour quelle raison puisque la session est déjà ouverte ?!?) puis mon nouveau code. Hors ce premier est rejeté … mauvais code secret… Fichtre !! Comme sans doute 10% des 10% d’Internautes restant, je prends mon courage à deux mains et appelle le numéro d’aide… où l’on m’explique très gentiment que pour la seconde étape, je doit être munis du code à 6 chiffres qui est sur mes relevés, mais qui en fait n’y est pas ..; D’où tout l’intérêt de fournir un code temporaire … bref, On m’expédie ce code par la poste, tout en me précisant que sur de vieux relevés… peut être pourrais-je le trouver…
Et là, coup de veine avant l’abandon …. Je retrouve un vieux relevé où le code n’est pas inscrit dessus, mais présent sur une autre feuille dans l’enveloppe … Je le tape … lui aussi est rejeté… Génial !
Bon, là, comme 1% des 10% des 10% d’internautes restants, je retourne au home directory du service ce qui me permet de revenir un peu en arrière, j’essaie de nouveau le mot de passe à 6 chiffres… rejet … puis le mot de passe temporaire … et là, miracle, ça passe !

Je ne sais pas si vous avez saisi l’astuce … moi en tout cas absolument pas (je précise que les mots de passe ont été essayés plusieurs fois et qu’il n’y avait pas de fautes de frappes dans les essais précédents).
Bon, au final je suis inscrit … j’ai eu beau chercher l’option 0 papier …. je n’ai pas trouvée, peut être est-ce automatique … on verra bien.

Je note simplement une chose, si un site marchand faisait la même chose… il n’aurait pas un client ! Alors que par ailleurs, la création de comptes utilisateur est le béa-ba du développement ouaib.
A bon entendeur ! salut !
_________
mise à jour …
_________

Voila, cette fois c’est fait, le fond du fond de l’amateurisme est atteint lors de la réception de l’email de confirmation de mon adresse mail … je vous fait un c/c c’est trop beau !

Veuillez cliquer sur le lien suivant pour valider votre email :
MTc3————–Z2aURrOGUwYU1LR1FkWFptUXJO?code=https://assure.ameli.fr/portal/page/portal/Espace_AS/Sommaire
Pour nous contacter, merci de ne pas répondre à ce mail mais connectez-vous à votre compte Ameli assures :
https://assure.ameli.fr/portal/page/portal/Espace_AS/validationAdresseCourriel.

Regardez bien ! l’url qui est donnée … le jeton de validation et l’adresse de la page sont inversées… Autant vous dire que d’une part personne ne risque de valider son email mais que surtout personne n’a testé cela… Ya de la sanction pour incompétence dans l’air !
Bon, pour continuer dans le parcours du combattant, j’ai fait comme 0% des assurés … j’ai remis l’url à l’endroit ! ben je vous le donne en mille :

Votre adresse électronique n’a pas été validée. Veuillez réessayer ou contacter le service support !
Pour vous connecter à votre compte ameli,

allez ! une dernière avant que vous vous étouffiez de rire … J’ai voulu envoyer un message pour les prévenir du problème … mais je ne peux pas tant que l’email n’est pas validé ! trop bon !

Des nouvelles de mon aventure au bout de 3 mois … Nous sommes en Décembre et si l’email de validation n’est toujours pas corrigé, lorsque l’on remet dans le bon ordre les champs, il ets enfin possible de valider l’email !! OUAIIII trop fort la sécu ils ont corrigé un bug ! Bon, maintenant, il ne reste plus qu’a mettre l’option 0 papiers dedans et j’aurais enfin l’impression que mes efforts auront était utiles pour la société.
Bon je vous en donne encore une pas mal … une fois mon email validé, j’ai souhaité envoyer un message pour leur indiquer le problème mais pas de bol … quand le message est trop long, il entraine une erreur “service indisponible” … Quand on pense que la sécu paye des gens a plein temps pour vendre leur service et des spots de pub à plusieurs millions d’Euro pour un site qui ne sert à rien … et bien j’aimerai franchement qu’on me rembourse mes 40 euros de franchise de l’année tien !

Trou de sécurité Joomla, un serveur piraté

L’histoire commence par un trou de sécurité dans l’outil de CSM joomla que j’utilise sur certains sites. Ce bug permet à tout utilisateur sachant l’exploiter d’imposer une nouveau mot de passe à l’utilisateur administrateur du site pour faire simple. Le bug est identifié en version 1.5.x depuis le 1er Aout.
Un de mes sites a donc été attaqué vers le 14 Aout : un utilisateur a pris le contrôle d’un des site pour y poster son article sur son sentiment au sujet de la Russie.
Un second est passé sur le même site pour le fermer, tout en modifiant la message et ce ventant de ce magnifique acte de bravoure… A noté que n’importe quel gamin de 10 ans ayant connaissance de la procédure à suivre peut en faire autant … enfin !
La dernière attaque est d’hier (17 Aout) et m’aura permis de me rendre compte de la faille. Celle-ci, bien qu’utilisant le même procédé est beaucoup plus intéressante car mettant en œuvre une technique plus évoluée et ayant plus de conséquences sur mes sites.

Mon ami de Turquie est donc venu visiter l’un de mes site à partir d’une simple recherche google à partir de laquelle il identifie les site basés sur joomla et offrant la porte d’entrée adéquat. La méthode est simple, ingénieuse. Une fois entré, il profite des fonctionnalités de ce CSM permettant de modifier manuellement les templates pour injecter son propre code PHP à la place de celui du template par défaut. Il a ainsi plus placer une petit script PHP rigolo aux fonctionalités diverse : scan de fichiers avec sticky bit, recherche de fichiers, édition de fichiers, exécution de commande shell … Le tout heureusement limité au droits de l’utilisateur apache…. mais c’est déjà pas mal !
Au final, mon ami aura passé une dizaine de minutes, le temps d’installer sa tambouille puis de modifier tous les index.php de mes sites ouaib hébergés sur ce même serveur pour les remplacer par le sien, une bannière php statique se ventant de cet acte de piraterie à l’intérêt au combien inutile.
Vient alors le temps de la résolution et du retour à la normale … de quoi me remettre dans le bain apres 15j de vacances bien mérités… Toutes ses actions étant convenablement tracées dans les fichiers de log apache il restait à réaliser le retour en arrière puis à colmater les brèches. Je suis en général bien armé pour cela avec une batterie de backup… Mais lois de l’emmerdement maximal oblige, ceux-ci ne fonctionnaient plus depuis trop longtemps sur ce serveur pour être utilisable … bref une journée de galère pour une récupération complète, aux pertes près issues de mauvaises manipulations de ma part …

Au final, je tire quelques conclusions de cela:

  • Je suis conforté sur les risques liés à l’usage de CMS qui nécessitent d’être à même de patcher à tout moment les sites ainsi construits. Cette manip n’étant pas évidente dès que la version en ligne est un peu trop ancienne ou que des éléments ont été modifiés suite à une adaptation du site. Un développement custom, même s’il possède des trous de sécurité ne sera victime que d’une attaque ciblée et non de ce type d’attaque hasardeuse
  • L’utilisateur apache ne devrait pas avoir de droits d’écriture sur aucun des fichiers / répertoire ; seulement, avec tous les automatismes offerts par les site ouaib actuels (installation de modules, templates) il est difficile de réaliser cela sans se priver de certaines fonctionnalités. Je tire donc comme conclusion que l’usage d’un CMS, entre autre doit passer par une étude approfondie des droits à affecter à chaque fichiers/rep avant une monté en production.
    Je pense d’ailleurs que les CMS devraient intégrer des scripts de protection et de dé-protection des fichiers par exemple, ou prévoir que certaines opérations soient réalisées en sudo avec un autre utilisateur que apache. En tout cas, il vaut mieux désactiver des fonctionnalités que de perdre un site suite à un crack.
  • Enfin il est vraiment nécessaire de vérifier ses backup à une fréquence suffisante … en vérifiant qu’ils puisse bien être décompressés et qu’ils sont donc utilisable.

Voici donc quelques pensés sur la forme suite à cette attaque … Sur le fond, je ne cesse de considérer qu’il n’y a aucun héroïsme à utiliser des failles trouvées par d’autres, pas plus que de taguer un mur, ça n’exprime rien de plus que lorsqu’un chien pisse sur un lampadaire et la première pluie emmènera tout avec elle. Le seul Hacker est celui qui trouve – invente la faille par la lecture du code ou l’analyse du protocole, il n’a pas besoin d’en faire l’illustration sur l’espace public pour que son travail soit reconnu.

Quand tout va mal… tout va mal !

En terme de backup je suis plutot parano, non pas que mes données aient beaucoup de valeur, mais plutôt qu’il compter pas mal de temps pour les reconstituer et que je n’aime pas forcement me retrouver en mode gestion de crise pour mes sites perso… bref, j’ai additionné plusieurs systèmes de sécurité et mes données sont donc sur 3 disques : 2 en raid 0 + 1 de backup contenant des archives compressés… On se dit toujours que ceci est superflus et que l’une des deux solutions suffiraient amplement, jusqu’au jour comme celui lui ou après 5 ans de bons et loyaux service l’un des disques rend l’âme et que ce même jour le NAS stockant les backup décide lui de l’accompagner après 4 ans de fonctionnement. une retraite bien mérité pour ces éléments, je n’ai pas forcement à me plaindre… mais le même jour, il faut l’avouer, c’est tout de même l’expression qu’au hasard il ne faut jamais négliger l’addition de la lois de l’emmerdement maximum.
J’ajoute que bien entendu, il n’est pas question de surtension ou quoi que ce soit, mais bien de morts la mort naturelle de ses composants, l’un d’eux ayant déjà montré quelques signes de faiblesses.
Au final je ne regrette pas mes solutions en place qui ont fonctionné : 2 vis enlevées plus tard, la machine repartait … reste à réparer maintenant.

Raport de Monsieur FNAC sur le partage de musique

Je dois avouer, que cette façon de voir ne me semble pas mal, elle est en tout cas plus proche de ce qu’il y avait par le passé, à savoir la règle du “piratez tant que vous voulez”, du moment que ça ne se sait pas trop… Un peu d’hypocrisie n’a jamais fait de mal à personne, c’est sûr … Allez ! je ne dis pas cela pour dénigrer le système, l’idée d’être prévenu et fâché comme un enfant puis punis d’une privation d’Internet n’est peut être pas idiote, loin de là, elle est toujours meilleure que de traiter celui qui fait comme tout le monde de criminel en le jetant devant des tribunaux qui ont bien d’autres chats à fouetter.
Outre cette bonne idée, l’application, me semble comme toujours plus hasardeuse, en effet, comment déterminer si l’on pirate ou non ? Pour ma part j’utilise des logiciels de peer to peer pour récupérer des distribution Linux, cette utilisation est légale, mais Wanadoo aura bien du mal à la différencier d’un transfert de mp3… Et admettons qu’ils fassent attention au contenu transféré, il suffira que des réseaux cryptés sortent pour qu’ils deviennent aveugles et que la méthode soit caduque. En effet, la punition n’a de sens que si elle touche le fautif et non l’utilisateur respectueux de la lois.

Mais l’objet de cet article n’est pas exactement d’aborder la mise en pratique d’une n ième proposition en la matière qui n’aura pas plus de résultat que celui d’avoir mis en valeur l’homme qui en est à la source. Je voulais plutôt imaginez ce que serait le monde de demain sans la possibilité d’échanger de la musique par Internet. Soyons honnêtes, la musique s’est échangée en masse bien avant l’Internet et l’échange est à la base de trop de modèles économiques pour qu’il cesse.
Pour ma part, je pars du principe que la musique sera enregistrable tant que nos oreilles pourront l’entendre ! Je veux dire que DRM ou non, pour enregistrer de la musique, il suffit d’une carte son et d’un petit bout de câble reliant l’entrée à la sortie ; ou d’un micro et d’un magnétophone, bref la méthode est si rudimentaire qu’elle est à la portée de tous. De là il restera à la transmettre, Internet est pratique et simple, mais en terme de technologie, il est déjà dépassé par des gadgets que nous possédons tous : les disques dur et clef usb peuvent permettre de transférer 1 To de données en quelques minutes, le temps de monter dans sa voiture et de ce rendre chez un amis … c’est tout de même bien mieux que mes 20Mbits/s non ?!? Et ce n’est rien, dès lors que l’Internet ne serait plus utilisable, apparaîtraient immédiatement des téléphone portable permettant un échange bluetooth de mp3 (ah oui ca existe déjà … lol), mais comme le concept deviendrait vendeur, une semaine après sortirait la public-box : un téléphone wifi avec 100G de mémoire et permettant la mise à disposition publique de mp3 à 200 mètres à la ronde ; une semaine après un concurrents lancerait la share box, où le concept serait qu’en se promenant dans la rue, non seulement on partagerait sa musique avec tous, sur le même principe mais en plus elle téléchargerait automatiquement toutes les musiques trouvées chez les autres piétons… bref, à coté de ces exemple, Internet n’est rien ; la création de réseaux viraux de ce type seraient beaucoup plus grand publique, simple d’accès, et incontrôlable pour des années, car bien-sur, la public box comme la share-box ne seraient que des lecteur mp3 ayant une fonction de synchronisation sans fil…. rien d’illégal quoi ….

Je vois déjà le patron de la fnac vendant tous ces équipements et se frottant les mains les premiers mois, puis rendant sa copie en proposant d’équiper chaque policier d’un sniffer de réseaux sans-fils pour traquer le piétons indiscipliné… Monsieur, si vous continuez à marcher tout en piratant, on vous coupe les jambes !!!!
Bref, peut être qu’il vaudrait mieux réadapter le produit à son marché plutôt que de contraindre le marché à rester inchangé… c’est d’ailleurs ce que l’on appelle la lois du marché non ?

Precée Apple

Balade à la Fnac, alors que les Apple n’étaient il y a quelque temps que timidement présent, ils occupent maintenant presque autant de surface que tous les autres constructeurs confondu. Si l’on ajoute à cela l’espace iPod, on est pas loin d’avoir la surface d’un Apple store dans ce magasin.
Il est clair maintenant que cette année est celle des produits Apple : un gage de qualité du matériel, un design fun et un prix très abordable, en tout cas un rapport qualité prix dans le top sur la gamme grand publique.

Mais le mot clef est à mon avis rupture, je veux dire par là que MAC va là où on ne l’attend pas : il y a eu le design : alors que le monde du PC s’orientait de plus en plus vers la grosse boite noire bruillante, apple sort des équipement, blanc, design et silencieux. Alors que tous les constructeurs cherchent des lecteur MP3 petit, gris et discret, Apple lance l’apple, blanc, gros et surtout doté de son cordon blanc que l’on identifie à 100 mètres … J’ai un Apple et je veux que ca se voit, voici en résumé la cible. C’est ainsi que je comprend mieux l’application de Think Different. Apple c’est le monde nouveau et donc bien sûr meilleur vers lequel nous voulons aller… Apple va plus loin et avant les autre, la firme prend des risque en créant la rupture sur des marchés grand publique et ça marche, alors pour ma part je dit merci et bravo.