GuiGui's Show

« Après des mois de débats, l’Assemblée nationale a définitivement adopté cet après-midi le projet de loi Macron, pour la troisième fois grâce au « 49-3 ». Le gouvernement n’a cependant pas jugé bon de retenir les quelques amendements qui avaient été déposés en matière d’ouverture des données de transports. C’est donc une version pas toujours très favorable à l’Open Data qui a été retenue par le législateur...

[...]

Sauf qu’hier, Manuel Valls a décidé d’engager la responsabilité de son gouvernement sur la base d’un texte écartant tous ces amendements, dès lors considérés comme « tombés ». Autrement dit, la version définitivement adoptée par le Parlement est très exactement celle votée il y a un peu moins d’un mois par l’Assemblée nationale (voir notre article).

Rappelons-en le dispositif. Il est tout d’abord prévu que les personnes assurant des services réguliers de transport public de personnes (SNCF, RATP, compagnies aériennes...) et des services de mobilité soient tenus de diffuser « librement, immédiatement et gratuitement » différentes données « dans un format ouvert » :

    arrêts,
    tarifs publics,
    horaires planifiés,
    horaires en temps réel,
    accessibilité aux personnes handicapées,
    disponibilité des services,
    incidents constatés.

Ces dispositions pour le moins ambitieuses s’appliqueront dès qu’un décret en Conseil d’État en aura fixé les modalités précises de mise en oeuvre. Il est d’ores et déjà prévu que celui-ci soit publié « au plus tard trois mois » après la promulgation de la loi Macron.

[...]

Mais où est donc le problème ? Le même article offre une belle échappatoire aux transporteurs... Il est en effet précisé que toutes ces sociétés seront « réputées remplir leurs obligations » si elles choisissent d'adhérer à des « codes de conduite, des protocoles ou des lignes directrices ». Des documents établis par leurs soins et « rendus publics », même s’ils devront être homologués par les ministres des transports et du numérique.

En optant pour ces sortes de chartes, les signataires seront théoriquement en mesure de contourner les grands principes posés initialement par la loi Macron, puisqu’ils pourront définir un « délai raisonnable » pour la diffusion de leurs données de transport, ou bien encore prévoir des « dérogations au principe de gratuité à l’égard des utilisateurs de masse » – ce qui signifie que des redevances continueront potentiellement à être réclamées par les diffuseurs... On serait ainsi bien loin de la « réutilisation libre, immédiate et gratuite » pourtant imposée à ceux qui n’adhéreront à aucun code de conduite. »

« Hacking Team uses a UEFI BIOS rootkit to keep their Remote Control System (RCS) agent installed in their targets’ systems. This means that even if the user formats the hard disk, reinstalls the OS, and even buys a new hard disk, the agents are implanted after Microsoft Windows is up and running.

They have written a procedure specifically for Insyde BIOS (a very popular BIOS vendor for laptops).  However, the code can very likely work on AMI BIOS as well.

A Hacking Team slideshow presentation claims that successful infection requires physical access to the target system; however, we can’t rule out the possibility of remote installation. An example attack scenario would be: The intruder gets access to the target computer, reboots into UEFI shell, dumps the BIOS, installs the BIOS rootkit, reflashes the BIOS, and then reboots the target system.

We’ve found that Hacking Team developed a help tool for the users of their BIOS rootkit, and even provided support for when the BIOS image is incompatible »

« En fouillant dans le code source des archives du rapport de transparence de Google sur le droit à l'oubli, le Guardian s'est aperçu qu'il existait des données cachées plus précises que celles affichées publiquement sur le site officiel. Alors que le rapport public de Google n'affiche qu'une répartition très sommaire du nombre des URL supprimées par rapport au nombre total des demandes, le code source montrait des données inexploitées permettant de voir, en particulier, la qualité des personnes qui demandaient à faire supprimer des résultats dans les recherches correspondant à leur nom.

On pouvait ainsi voir qu'en France, entre le 29 mai 2014 et le 23 mars 2015, une écrasante majorité (98 %) des demandes de censure de résultats étaient formulées par des particuliers sans histoire, qui demandaient à ce que certains résultats gênants pour leur réputation ou devenus obsolètes ne soient plus affichés dans les résultats liés à leur nom. Sur environ 45 000 demandes reçues, seules 191 provenaient de "personnalités publiques" (artistes, chefs d'entreprise, sportifs...), et 224 de personnalités politiques. 256 demandes provenaient de victimes ou d'auteurs de "crimes sérieux".

Selon le code source, 66 demandes de droits à l'oubli de responsables politiques ont été acceptées par Google au 23 mars 2015, soit près de 30 % des demandes classées dans cette catégories. 34 demandes de "personnalités publiques" ont également été acceptées (17 %). »

Un client IRC pour malvoyant donc compatible avec la synthèse vocale Debian GNU/Linux (je ne sais pas si c'est eSpeak ou autre qui est utilisé, par contre :- ) ? On oublie irssi/weechat : la synthèse vocale est perdue et relit l'intégralité de la fenêtre (nom du salon + listes des pseudos + intégralité de l'historique de la conversation) à chaque nouveau message. On oublie empathy (+ module telepathy-idle pour IRC) et XChat : la zone qui affiche la conversation n'est pas détectée par la synthèse vocale donc n'est pas lue... Pidgin fait le job.

Ha, note pour les dev' : pensez l'ergonomie de vos logiciels. Une fenêtre créer un compte dans laquelle il faut cliquer sur un bouton ajouter puis sur ajouter serveur puis cliquer sur nouveau puis éditer pour entrer le nom du serveur puis refaire le chemin en sens inverse, c'est chiant de base et c'est totalement énervant et rédhibitoire pour des personnes handicapées.

« En attendant la décision du Conseil constitutionnel dans une dizaine de jours, les mémoires (ou amicus curiae) s’amoncellent sur le bureau de Jean-Louis Debré. Dernier en date, celui cosigné par une ribambelle d’organisations : le Syndicat de la Magistrature, Amnesty International, la Ligue des Droits de l’Homme (LDH) ou encore le Syndicat des Avocats de France (SAF).

Le choix dommageable de la procédure parlementaire accélérée
Des définitions trop flous, une part trop belle au gouvernement
Un autre cas d’incompétence négative : la surveillance internationale
Des finalités non assez affinées
Disproportion des boîtes noires et des mouchards informatiques
Réintroduire le judiciaire dans ces mesures de surveillance administrative »

Intéressant ce notice and stay down auprès d'un CDN pour tout site utilise la marque Grooveshark.

Pour un fichier de conf' /etc/openvpn/arn.conf, il faut utiliser les commandes :
systemctl enable openvpn@arn

systemctl start openvpn@arn
systemctl stop openvpn@arn
systemctl restart openvpn@arn

« After just a few hours the Hacking Team emails archive has already provided many tasty leaks. I want to focus on a routing security issue since this is my main research activity for this year.

Short summary: if these emails are true, and so far nobody has found any credible reason to believe that they are not, then some major italian ISPs hijacked the IP addresses of a foreign ISP on request of the section of the Carabinieri which investigates terrorism and organized crime.

The goal was to recover access to some copies of the Hacking Team malware which were controlled by "anonymizer" VPSes hosted on the hijacked network and that were abruptly disabled by their provider.

Thanks to the great RIPEstat service I have been able to verify that indeed the network 46.166.163.0/24 was announced by AS31034 (aruba.it, a large italian hosting company) in 2013, from august 15 to 22. »

ÉDIT DU 13/07/2015 : voir aussi https://www.bgpmon.net/how-hacking-team-helped-italian-special-operations-group-with-bgp-routing-hijack/ pour une explication beaucoup plus complète.

Via https://twitter.com/bortzmeyer/status/619487993045360640

« Le rapport présenté ce matin par les sénateurs Corinne Bouchoux et Loic Hervé avance 12 propositions relatives à l'évolution des missions de la Hadopi. Ces mesures dressent un véritable catalogue du pire, reprenant des idées dangereuses énoncées auparavant et en ajoutant d'autres. Faute d'avoir le courage de rompre avec une riposte graduée illégitime et dépassée, les sénateurs sont conduits à une véritable fuite en avant, susceptible de fragiliser encore les libertés sur Internet, sans apporter aucune piste tangible pour la soutenabilité de la création à l'heure du numérique.

Plutôt que de supprimer une riposte graduée notoirement inefficace, la mission sénatoriale de C. Bouchoux et L. Hervé propose de la maintenir, en remplaçant la sanction judiciaire actuellement prévue par une amende administrative prononcée directement par la Hadopi. Une telle idée, soufflée par le lobby des sociétés de gestion collective et des industries culturelles, aurait pour effet d'extra-judiciariser le processus, là où le Conseil constitutionnel en 2009 avait fait en sorte de maintenir la présence du juge. L'artifice ici proposé de créer une commission des sanctions « indépendante » au sein même de la Hadopi n'offre pas les garanties suffisantes en matière de respect des droits. C'est une mise à disposition de la Hadopi comme gendarme au service des intérêts privés des ayants droit et financé par l'argent public, qui est ici préconisée.

Par ailleurs, le rapport s'inspire lourdement des préconisations antérieures de Mireille Imbert-Quaretta pour « muscler » les prérogatives de la Hadopi en matière de lutte contre la « contrefaçon commerciale ». On y retrouve notamment l'idée de confier à la Hadopi la tâche de dresser une « liste noire » de sites « massivement contrefaisants », toujours sans intervention du juge. Les sénateurs proposent aussi de confier à la Hadopi le soin de mettre en œuvre un dispositif « Notice And Stay Down » pour empêcher la réapparition des œuvres signalées par les ayants droit sur les plateformes, ce qui aurait pour conséquences de les pousser à surveiller les contenus qu'ils hébergent et de les transformer en une « police privée du droit d'auteur ».

C. Bouchoux et L. Hervé apportent également leur soutien aux démarches visant depuis le début de l'année à faire signer aux intermédiaires de la publicité ou du paiement en ligne des chartes avec les titulaires de droits les engageant à ne pas proposer leurs services aux plateformes de streaming et de téléchargement direct. La Quadrature du Net a plusieurs fois dénoncé ces dispositifs, qui contournent à la fois le juge et le législateur, et il est particulièrement choquant de voir des parlementaires apporter leur caution à cette stratégie.

Enfin, le rapport relaie encore une fois une revendication portée par les industries culturelles et les sociétés de gestion collective visant à remettre en cause le statut des hébergeurs en agissant au niveau européen sur la directive « Commerce électronique ». Cette protection est pourtant nécessaire à la liberté d'expression sur Internet, sous peine de déléguer des pouvoirs de censure privée aux plateformes. Nous pouvons déjà le constater sur les sites les plus engagés dans des collaborations avec les ayants droit comme Youtube, où le déploiement de processus de reconnaissance automatisée des œuvres aboutit à de fréquents dommages collatéraux.

Auditionnée par cette mission, La Quadrature du Net a fait valoir que seule une légalisation du partage non marchand des œuvres entre individus est à même d'assainir une situation que la riposte graduée mise en œuvre par la Hadopi a grandement contribué à dégrader, en incitant les internautes à se détourner des moyens décentralisés de partage (peer-to-peer) au profit de sites marchands (streaming, direct download). Tant que les politiques n'auront pas le courage de revenir sur cette erreur fondamentale qui était au cœur de la loi Hadopi, ils ne peuvent qu'être entraînés dans cette fuite en avant délétère à laquelle les incitent aveuglément les lobbies des industries culturelles, avec à la clé un immense gâchis d'argent public et de compétences.

« Les citoyens doivent rester vigilants, car si la prochaine loi sur la Création, présentée en Conseil des ministres cette semaine par Fleur Pellerin ne semble pas comporter de volet répressif, un rapport comme celui du Sénat pourrait augurer d'une tactique d'embuscade parlementaire introduisant par voie d'amendements ces mesures dangereuses dans le texte » déclare Lionel Maurel, membre du Conseil d'Orientation Stratégique de La Quadrature du Net.»

Ils ne se reposent jamais...

« Le 15 juin 2015, Philippe Vinci, qui a mené les approches avec Emanuele Levi, écrit un résumé de la situation après le salon ISS de Prague :

    On France GIC / MOI:
    4 persons attended the Demo session. Discussion after the demo with Head of GIC department.
    The new Law in France passed in the Parliament. Now needs to be voted in the Senate.
    Next step is to do a private demo / more technical in Paris or Milan.
    Also interested in SSL decryptor with their provider (Aqsacom probably).

Nous savons donc désormais que quatre représentants français, dont un haut responsable du Groupement Interministériel de Contrôle, ont eu droit à la démo privée proposée avant le salon. Ils ont donc donné suite à l’invitation de Hacking Team marquant ainsi à nouveau leur intérêt pour ces armes numériques.

Visiblement, tout le monde attendait que le vote du projet de Loi renseignement au Sénat, ce qui est chose faite. »

Loi renseignement + le Groupement Interministériel de Contrôle qui a un intérêt pour les technos de déchiffrement à la volée des flux chiffrés... J-O-I-E.