Petite reflexion ce matin à l’occasion de l’Hadopi 2 concernant les mesures de précaution associées à l’HADOPI, vous savez, je veux parler de ce logiciel que vous allez pouvoir installer sur votre PC pour prouver que vous n’êtes pas l’auteur des téléchargement illégaux… D’un point de vue de néophite, j’oserais presque dire de politique, cela pourrait tenir debout : on vous accuse, vous sortez les logs et vous êtes disculpés ou non… Seulement d’un poitn de vu technique il en est tout autre.

Le seul point captant toute l’information est le point d’accès wifi, la “box” comme on dit. Hors il n’est pas prevu que le logiciel soit installé ici et par ailleurs l’espace de stockage des log rendrait l’équipement bien plus couteux. Par ailleurs la diffusion de ce “spyware” dans tous les equipements réseaux (tout le monde n’utilisepas des box d’operateurs mais aussi des modem d’autres marque) n’est pas simple à envisager. C’est donc au niveau de chaque PC qu’un soft doit être installé. La seule preuve que le logiciel pourra ainsi apporter et que le pirate n’a pas agit depuis le PC en question (et encore, je passe sur les techniques de virtualisation) et d’aucune façon que le propriétaire du dit PC est innocent.

Rien ne l’empeche, en effet, d’avoir un autre équipement pour le téléchargement, je donne quelques exemple : le vieux PC désuet mais suffisent à cet effet, un netbook, un téléphone portable relié au wifi familial, une console…. autant d’équipements sur lesquel, de toutes façon, Hadopi ne fournira pas de spyware et qui ne laisseront aucune trace visible depuis l’Internet

Je trouve interessant de constater que la solution de “protection” du citoyen, prévu pour le disculper, n’est en aucun cas une preuve de son inocence.

Si toutefois, comme je le ferai, le citoyen n’installe pas ce spyware Hadopi, mais est à même de fournir des logs complets et exhaustifs de ce qui sort de son reseau pour entrer sur l’internet (par de vrai moyen techniques, efficaces et reconnus dans un univers de sécurité professionnel), il ne pourra justifier de son innocence.

S’il vous plait messieurs les politiques, laisser la technique aux professionnels, sortons de l’ameteurisme technologique et idéologique.

En plein débat sur Hadopi, le film Home nous apprend deux choses à mon sens, ceci non en rapport avec son contenu mais plutot avec ses ventes, alors que 9,5 millions de personnes l’ont suivi sur France 2, que 1,3 millions de personnes l’ont vu sur Youtube et qu’il s’avere tout de même que le film connaît un très bon démarrage de vente de DVD, en atteste les ruptures de stock dans les magasins Fnac et les 80% du stock vendu en 2 jours (dur de trouver un chiffre exact, si quelqu’un peut m’aider …).

La première concerne le prix du DVD, il semble évident qu’à 5€ les gens se déplacent pour acheter, beaucoup plus qu’aux 25-30€ habituels. Le facteur prix serait bien un element de décision important contrairement à ce que l’industrie à l’air de penser… Un peu comme pour les cinémas d’ailleurs.

La seconde concerne la gartuitée : ce n’est pas parce que quelque chose est gratuit et librement téléchargeableque les gens ne vont pas l’acheter, lorsque d’une part la qualité est au rendez-vous et que d’autre part l’offre de prix est en rapport avec la demande.

Comme quoi avant d’engager des lois liberticides, il serait peut etre bon de revoir ses bases de marketing, ecouter sa clientelle… Qui sait, certains pourraient gagner plus en vendant moins (cher)

CQFD

En complement:

http://www.mediapart.frhttp://blogs.mediapart.fr/blog/laurent-chemla/090709/benabar-le-libertaire-de-l-internet-regule

Je suis lassé de recevoir toutes les semaines des relevés de comptes de la Sécu, avec 1 enveloppe, 1 timbre, 3 feuilles et au moins autant de pub pour cet organisme alors que l’on entend toujours parler de son trou abyssal…
J’ai donc été heureux de découvrir l’existence d’ameli.fr, le site de la sécu permettant de faire du zéro papier ! je me suis donc précipité dessus pour m’y enregistrer … mais là commence l’horreur, la procédure semble des plus banales, saisir sont numéro de sécu et un code présent, selon la page, sur les relevés reçus … hors sur ces relevés .. rien, mais alors rien du tout !! Bref, mon élan est brisé et 15 minutes perdues à chercher ce fameux code… courageux et motivé (comme sans doute pas plus de 10% des Internautes) je choisis d’attendre que l’on m’envoie par courrier un nouveau code secret temporaire. Jusque là, tout va déjà mal mais bon …
10 jours plus tard, à la réception du code, je tente donc une nouvelle inscription, le code donné fonctionne et je passe à la seconde étape me demandant de changer mon mot de passe. Je saisis donc de nouveau le code temporaire (mais pour quelle raison puisque la session est déjà ouverte ?!?) puis mon nouveau code. Hors ce premier est rejeté … mauvais code secret… Fichtre !! Comme sans doute 10% des 10% d’Internautes restant, je prends mon courage à deux mains et appelle le numéro d’aide… où l’on m’explique très gentiment que pour la seconde étape, je doit être munis du code à 6 chiffres qui est sur mes relevés, mais qui en fait n’y est pas ..; D’où tout l’intérêt de fournir un code temporaire … bref, On m’expédie ce code par la poste, tout en me précisant que sur de vieux relevés… peut être pourrais-je le trouver…
Et là, coup de veine avant l’abandon …. Je retrouve un vieux relevé où le code n’est pas inscrit dessus, mais présent sur une autre feuille dans l’enveloppe … Je le tape … lui aussi est rejeté… Génial !
Bon, là, comme 1% des 10% des 10% d’internautes restants, je retourne au home directory du service ce qui me permet de revenir un peu en arrière, j’essaie de nouveau le mot de passe à 6 chiffres… rejet … puis le mot de passe temporaire … et là, miracle, ça passe !

Je ne sais pas si vous avez saisi l’astuce … moi en tout cas absolument pas (je précise que les mots de passe ont été essayés plusieurs fois et qu’il n’y avait pas de fautes de frappes dans les essais précédents).
Bon, au final je suis inscrit … j’ai eu beau chercher l’option 0 papier …. je n’ai pas trouvée, peut être est-ce automatique … on verra bien.

Je note simplement une chose, si un site marchand faisait la même chose… il n’aurait pas un client ! Alors que par ailleurs, la création de comptes utilisateur est le béa-ba du développement ouaib.
A bon entendeur ! salut !
_________
mise à jour …
_________

Voila, cette fois c’est fait, le fond du fond de l’amateurisme est atteint lors de la réception de l’email de confirmation de mon adresse mail … je vous fait un c/c c’est trop beau !

Veuillez cliquer sur le lien suivant pour valider votre email :
MTc3————–Z2aURrOGUwYU1LR1FkWFptUXJO?code=https://assure.ameli.fr/portal/page/portal/Espace_AS/Sommaire
Pour nous contacter, merci de ne pas répondre à ce mail mais connectez-vous à votre compte Ameli assures :
https://assure.ameli.fr/portal/page/portal/Espace_AS/validationAdresseCourriel.

Regardez bien ! l’url qui est donnée … le jeton de validation et l’adresse de la page sont inversées… Autant vous dire que d’une part personne ne risque de valider son email mais que surtout personne n’a testé cela… Ya de la sanction pour incompétence dans l’air !
Bon, pour continuer dans le parcours du combattant, j’ai fait comme 0% des assurés … j’ai remis l’url à l’endroit ! ben je vous le donne en mille :

Votre adresse électronique n’a pas été validée. Veuillez réessayer ou contacter le service support !
Pour vous connecter à votre compte ameli,

allez ! une dernière avant que vous vous étouffiez de rire … J’ai voulu envoyer un message pour les prévenir du problème … mais je ne peux pas tant que l’email n’est pas validé ! trop bon !

Des nouvelles de mon aventure au bout de 3 mois … Nous sommes en Décembre et si l’email de validation n’est toujours pas corrigé, lorsque l’on remet dans le bon ordre les champs, il ets enfin possible de valider l’email !! OUAIIII trop fort la sécu ils ont corrigé un bug ! Bon, maintenant, il ne reste plus qu’a mettre l’option 0 papiers dedans et j’aurais enfin l’impression que mes efforts auront était utiles pour la société.
Bon je vous en donne encore une pas mal … une fois mon email validé, j’ai souhaité envoyer un message pour leur indiquer le problème mais pas de bol … quand le message est trop long, il entraine une erreur “service indisponible” … Quand on pense que la sécu paye des gens a plein temps pour vendre leur service et des spots de pub à plusieurs millions d’Euro pour un site qui ne sert à rien … et bien j’aimerai franchement qu’on me rembourse mes 40 euros de franchise de l’année tien !

L’histoire commence par un trou de sécurité dans l’outil de CSM joomla que j’utilise sur certains sites. Ce bug permet à tout utilisateur sachant l’exploiter d’imposer une nouveau mot de passe à l’utilisateur administrateur du site pour faire simple. Le bug est identifié en version 1.5.x depuis le 1er Aout.
Un de mes sites a donc été attaqué vers le 14 Aout : un utilisateur a pris le contrôle d’un des site pour y poster son article sur son sentiment au sujet de la Russie.
Un second est passé sur le même site pour le fermer, tout en modifiant la message et ce ventant de ce magnifique acte de bravoure… A noté que n’importe quel gamin de 10 ans ayant connaissance de la procédure à suivre peut en faire autant … enfin !
La dernière attaque est d’hier (17 Aout) et m’aura permis de me rendre compte de la faille. Celle-ci, bien qu’utilisant le même procédé est beaucoup plus intéressante car mettant en œuvre une technique plus évoluée et ayant plus de conséquences sur mes sites.

Mon ami de Turquie est donc venu visiter l’un de mes site à partir d’une simple recherche google à partir de laquelle il identifie les site basés sur joomla et offrant la porte d’entrée adéquat. La méthode est simple, ingénieuse. Une fois entré, il profite des fonctionnalités de ce CSM permettant de modifier manuellement les templates pour injecter son propre code PHP à la place de celui du template par défaut. Il a ainsi plus placer une petit script PHP rigolo aux fonctionalités diverse : scan de fichiers avec sticky bit, recherche de fichiers, édition de fichiers, exécution de commande shell … Le tout heureusement limité au droits de l’utilisateur apache…. mais c’est déjà pas mal !
Au final, mon ami aura passé une dizaine de minutes, le temps d’installer sa tambouille puis de modifier tous les index.php de mes sites ouaib hébergés sur ce même serveur pour les remplacer par le sien, une bannière php statique se ventant de cet acte de piraterie à l’intérêt au combien inutile.
Vient alors le temps de la résolution et du retour à la normale … de quoi me remettre dans le bain apres 15j de vacances bien mérités… Toutes ses actions étant convenablement tracées dans les fichiers de log apache il restait à réaliser le retour en arrière puis à colmater les brèches. Je suis en général bien armé pour cela avec une batterie de backup… Mais lois de l’emmerdement maximal oblige, ceux-ci ne fonctionnaient plus depuis trop longtemps sur ce serveur pour être utilisable … bref une journée de galère pour une récupération complète, aux pertes près issues de mauvaises manipulations de ma part …

Au final, je tire quelques conclusions de cela:

• Je suis conforté sur les risques liés à l’usage de CMS qui nécessitent d’être à même de patcher à tout moment les sites ainsi construits. Cette manip n’étant pas évidente dès que la version en ligne est un peu trop ancienne ou que des éléments ont été modifiés suite à une adaptation du site. Un développement custom, même s’il possède des trous de sécurité ne sera victime que d’une attaque ciblée et non de ce type d’attaque hasardeuse
• L’utilisateur apache ne devrait pas avoir de droits d’écriture sur aucun des fichiers / répertoire ; seulement, avec tous les automatismes offerts par les site ouaib actuels (installation de modules, templates) il est difficile de réaliser cela sans se priver de certaines fonctionnalités. Je tire donc comme conclusion que l’usage d’un CMS, entre autre doit passer par une étude approfondie des droits à affecter à chaque fichiers/rep avant une monté en production.
  Je pense d’ailleurs que les CMS devraient intégrer des scripts de protection et de dé-protection des fichiers par exemple, ou prévoir que certaines opérations soient réalisées en sudo avec un autre utilisateur que apache. En tout cas, il vaut mieux désactiver des fonctionnalités que de perdre un site suite à un crack.
• Enfin il est vraiment nécessaire de vérifier ses backup à une fréquence suffisante … en vérifiant qu’ils puisse bien être décompressés et qu’ils sont donc utilisable.

Voici donc quelques pensés sur la forme suite à cette attaque … Sur le fond, je ne cesse de considérer qu’il n’y a aucun héroïsme à utiliser des failles trouvées par d’autres, pas plus que de taguer un mur, ça n’exprime rien de plus que lorsqu’un chien pisse sur un lampadaire et la première pluie emmènera tout avec elle. Le seul Hacker est celui qui trouve – invente la faille par la lecture du code ou l’analyse du protocole, il n’a pas besoin d’en faire l’illustration sur l’espace public pour que son travail soit reconnu.

En terme de backup je suis plutot parano, non pas que mes données aient beaucoup de valeur, mais plutôt qu’il compter pas mal de temps pour les reconstituer et que je n’aime pas forcement me retrouver en mode gestion de crise pour mes sites perso… bref, j’ai additionné plusieurs systèmes de sécurité et mes données sont donc sur 3 disques : 2 en raid 0 + 1 de backup contenant des archives compressés… On se dit toujours que ceci est superflus et que l’une des deux solutions suffiraient amplement, jusqu’au jour comme celui lui ou après 5 ans de bons et loyaux service l’un des disques rend l’âme et que ce même jour le NAS stockant les backup décide lui de l’accompagner après 4 ans de fonctionnement. une retraite bien mérité pour ces éléments, je n’ai pas forcement à me plaindre… mais le même jour, il faut l’avouer, c’est tout de même l’expression qu’au hasard il ne faut jamais négliger l’addition de la lois de l’emmerdement maximum.
J’ajoute que bien entendu, il n’est pas question de surtension ou quoi que ce soit, mais bien de morts la mort naturelle de ses composants, l’un d’eux ayant déjà montré quelques signes de faiblesses.
Au final je ne regrette pas mes solutions en place qui ont fonctionné : 2 vis enlevées plus tard, la machine repartait … reste à réparer maintenant.