GuiGui's Show

Une  œuvre de l'esprit sous licence libre et en prix libre ? Ça ne marchera jamais... Après la musique, les jeux vidéos, des livres numériques, voici un exemple de plus...

« Je me suis alors posé cette question : « Qui suis-je pour décider arbitrairement de limiter l'accès au savoir contenu dans le livre à ceux qui peuvent débourser 9,99€ ? » Après tout, si j'ai pu écrire ce livre, c'est grâce à ceux avant moi qui ont bien voulu donner de leur temps. C'est un livre basé sur un logiciel libre et sur les connaissances que j'ai accumulées grâce aux personnes qui ont bien voulu faire des articles de blog sur le sujet.

Est-ce que le fait de compiler tout cela dans un livre justifiait le fait de limiter l'accès en le rendant payant à prix fixe ? Plus j'y réfléchissais et plus je me disais que non. J'ai bâti mes connaissances sur celles des autres et rien ne justifie que je me les approprie. Tout le monde devait pouvoir profiter de ce livre, qu'ils aient de l'argent ou pas. Je me devais donc de le rendre accessible sans argent. Certes, mais j'avais peur. Peur de ? Peur qu'on me pirate mon livre en masse et que je ne gagne plus rien avec ! Si je ne forçais pas les gens à payer, personne ne paierait non ? Vous en avez payé combien des sharewares vous ?

[...]

Avant le prix libre : 1 an et demi, 90 téléchargements, prix de 9,99€, dons association 0€, licence non libre, argent gagné : 621€.

Après le prix libre : 8 mois, 1619 téléchargements, prix moyen 9€, dons association 366€, licence libre, argent gagné : 870€.

En passant mon livre à prix libre j'ai donc : permis à tout le monde de le lire, gagné plus d'argent et agit pour la bonne cause en aidant Framasoft. Finalement, j'avais tout à y gagner à le faire, mais pour ça, il fallait que j'essaie. Il fallait que j'aille au delà de la peur que j'avais de donner mon travail. Il fallait que je responsabilise les « acheteurs » et que je leur fasse confiance. »

L'amendement en question (COM-193) a été retiré apparemment mais c'est révélateur : certains de nos représentants pensent déjà à aller plus loin dans la surveillance généralisée, c'est un fait. Tout comme à l'issue de la loi anti-terrorisme, une députée a déclarée, en gros "c'est bien d'avoir voté ce texte mais à l'avenir, il faudra s'attaquer au chiffrement, etc". Tout comme certains élus ont très vite pensé à étendre la censure administrative introduite par la même loi anti-terroriste à injure et diffamation, anorexie,... (cf : http://shaarli.guiguishow.info/?kRUkFw). C'est toujours comme ça.

« Les sénateurs UDI Joël Guerriau, Claude Kern et Jean-François Longeot proposent d'étendre la liste déjà longue des domaines pour lesquels les services de renseignement peuvent déployer tout un arsenal de mesures de captations d'informations confidentielles en France ou à l'étranger.

Les sénateurs souhaitent ainsi qu'en plus (entre autres) des intérêts économiques, industriels et scientifiques majeurs de la France, les barbouzes puissent aussi s'occuper des intérêts "sanitaires, énergétiques, scolaires, administratifs, culturels, cultuels, (et) sportifs". »

« Au Sénat, la commission des affaires étrangères, de la défense et des forces armées n’a pas bouleversé le chantier du projet de loi renseignement.

[...]

Surtout, les sénateurs ont revu considérablement la définition des finalités justifiant la mise en œuvre du renseignement. Ces finalités avaient été élargies par les députés. [...] Pourquoi avoir supprimé le mot « majeur » ? Selon le rapport de la commission sénatoriale, « sauf à exposer dans un document de référence émanant de l’exécutif ce que sont les intérêts majeurs de la politique étrangère, il paraît (…) très incertain de laisser à la jurisprudence, fût-elle celle d’une Haute juridiction comme le Conseil d’État, le soin de les définir. » Concrètement, cela laissera donc plus de latitude au gouvernement et au président de la République pour décider du déploiement des mesures de surveillance. [...] De même, les sénateurs ont faussement enterré la finalité des « armes de destruction massive », tout simplement parce que leur lutte s’incruste déjà dans les engagements internationaux passés par la France, une référence qui fait d’ailleurs ici son retour ( « des engagements européens et internationaux de la France »), comme le prévoyait initialement le texte gouvernemental.

[...]

Dans le déroulé des mesures de renseignements, le projet amendé met désormais dans la boucle la délégation parlementaire du renseignement, laquelle sera informée de l'ensemble des services qui seront reconnus aptes à pratiquer l’espionnage.

[...]

Autre apport notable, les membres de la commission des affaires étrangères, de la défense et des forces armées ont amendé les procédures d’urgence qui permettent de déployer le renseignement sans en informer préalablement la Commission de contrôle des techniques de renseignement. Dans le texte de base, cette faculté était ouverte en cas d’ « urgence absolue ». Désormais, c’est en cas de « menace imminente ». Ce remplacement ouvre sans doute plus grandement les voies de cette procédure exceptionnelle puisque cette menace est expliquée sous le vocable de « risque très élevé » par le rapport, moins anxiogène que l’ « urgence absolue » initiale.

[...]

Dans l’actuelle version, celle votée à l’Assemblée nationale, les renseignements collectés lors des écoutes administratives doivent être détruits à l’issue d’une durée de trente jours à compter de la première exploitation, et dans un délai maximal de six mois à compter de leur recueil. Les sénateurs ont modifié l’économie calendaire : la destruction se fera dans les 30 jours après recueil et dans un délai de 60 jours mais pour les seules correspondances en langue étrangère.

[...]

la composition de la CNCTR. Après quelques hésitations, les députés avaient porté à 13 le nombre de personnes autour de la table (3 députés, 3 sénateurs, 6 magistrats et un représentant désigné par l’ARCEP). Les sénateurs lui préfèrent une commission restreinte à 9 membres (2 députés, 2 sénateurs, 2 magistrats du Conseil d’État, 2 magistrats de la Cour de cassation, 1 représentant de l’ARCEP). Dans le même temps, ils ont réduit le nombre de personnes exigées pour que les délibérations soient considérées comme valables (de 6 à 4). [...] Que ce soit 13 ou 9, Claude Malhuret s’est interrogé le 13 mai sur la capacité de la CNCTR à pouvoir absorber l’ensemble des demandes d’avis émises par l’exécutif, avant espionnage : « un total de 6 000 autorisations annuelles a été évoqué lors de l’audition des ministres, soit 20 par jour. Comment la CNCTR va-t-elle pouvoir donner autant d’avis ? ». À cette question, le ministre de l’Intérieur a promis des explications en séance publique, d’après Jean-Pierre Raffarin, rapporteur pour avis sur le texte. Un détail d'importance : lorsque la CNCTR n'aura pas rendu d'avis suite à une demande du premier ministre, son avis sera réputé rendu...

[...]

Lorsqu’on aborde le cœur des techniques de renseignement, des modifications ont été apportées sur les sondes. Rappelons-le : elles permettront d’aspirer les données de connexion chez l’ensemble des acteurs (sites, FAI, opérateurs télécoms ou en ligne, hébergeurs, etc.), en temps réel et directement sur leur réseau, sans l'aval des intermédiaires. « Selon les explications fournies par les responsables des services de renseignements, il s’agit de pouvoir vérifier qu’un groupe d’individus inscrits sur une liste et qui ont été, à un moment donné, impliqués dans les agissements d’un groupe terroriste, ne sont pas à nouveau entrés en relation. Une sonde sera ainsi placée sur le réseau afin de pouvoir comparer les métadonnées relatives à ces individus avec les métadonnées circulant sur ce réseau ». Un véritable pipeline à vie privée, donc. L'aveu risque d'avoir l'effet d'une douche froide chez les acteurs du Net qui espéraient pouvoir sortir tête haute de ce texte... [...] Normalement, le mécanisme doit cibler des personnes « préalablement identifiées comme présentant une menace ». Les sénateurs ont toutefois interdit cette arme préventive dans un cadre exceptionnel, celui de la menace imminente.

[...]

Par contre, ils n’ont pas touché d’un cheveu aux boites noires, alors que plusieurs critiques et inquiétudes s’étaient déjà fait entendre au Sénat à leur encontre, sans compter celles de la société civile. Un fait intéressant a été mis en évidence par Jean-Pierre Raffarin : «  selon les explications fournies à votre rapporteur lors des auditions qu’il a menées, les services n’auront pas directement accès au résultat de la mise en œuvre de l’algorithme (c’est-à-dire au produit du filtrage). Ce n’est que dans le cas où les données recueillies après autorisation du Premier ministre sembleront pertinentes (notamment qu’elles ne sont pas trop nombreuses, révélant ainsi l’inadéquation des critères retenus) et qu’elles révèleront une menace, qu’elles leur seront rendues accessibles ». Ce détail pratique ne ressort cependant pas du projet de loi... Il faudra donc faire confiance aux propos de l'exécutif...

Mêmes consécrations pour les mesures de surveillance internationales, la sonorisation des lieux privés, la possibilité d’effectuer du piratage légal, ou les dispositions relatives aux lanceurs d’alerte : toutes ont été sacralisées.

[...]

Inversement, les sénateurs ont réintroduit techniquement le mécanisme de l’IMSI catcher, ces fausses antennes relai qui permettront d’aspirer tout ce qui passe dans leur spectre (amendement 20). Sans entrer dans les détails techniques du texte (nous l'avons déjà fait ici, notamment), cette substitution va quelque peu raboter la portée de ces mesures d’espionnage, que les députés avaient considérablement étendu. [...] Ces techniques de renseignement ne pourront en tout cas pas viser une profession sensible (journaliste, avocat, parlementaire, etc.) sauf désormais « s’il existe des raisons sérieuses de croire que la personne visée agit aux ordres d’une puissance étrangère, dans le cadre d’un groupe terroriste ou d’une organisation criminelle ». Les sénateurs ont voulu ici limiter un angle mort, puisque le projet de loi ne permettait pas ces mesures dès lors que la personne ciblée était par exemple un parlementaire. Cependant, cette possibilité est accompagnée d'une série de garanties. La CNCTR entre par exemple dans la boucle et sera avertie dans les deux heures des suites que le premier ministre entend donner à sa recommandation. [...] Seulement, comment la boite noire, la sonde et la fausse antenne relai sauront éviter d’aspirer des données relatives à ces professions ? Leur principe même repose en effet sur la collecte massive, plus que la frappe chirurgicale... »

Ma TODO pour me faire de simples points d'accès WiFi avec OpenWRT :
1) Flasher avec OpenWRT

2) Positionner boot_wait / boot_time / wait_time, ce qui permet un reflash facile en utilisant TFTP

3) Changer le mot de passe root (et activer ssh automatiquement)

4) Changer le nom de la borne / serveur NTP

5) Désactiver DHCP sur l'interface lan (le bridge en vrai) et faire la configuration : IP statique, serveurs DNS récursifs, routeur de sortie du réseau

6) Supprimer l'interface wan. Optionnel : rattacher l'interface wan au bridge lan dans le but d'avoir un port de plus disponible

7) Désactiver le firewall

8) Configurer l'interface WiFi (SSID, sécurité, ...)

«  ChaCha20 est un algorithme de chiffrement symétrique, plus rapide qu'AES sur un matériel générique (mise en œuvre purement en logiciel), Poly1305 est un MAC, et les deux peuvent être combinés pour faire du chiffrement intègre (et cela figure désormais dans le registre sur AEAD).

[...]

À l'origine, Poly1305 était décrit comme lié à AES, pour obtenir, par chiffrement du numnique, une chaîne de bits unique et secrète. Mais, en fait, n'importe quelle fonction de chiffrement convient, pas uniquement AES. (L'article du Wikipédia anglophone sur Poly1305 continue à colporter cette erreur.)

[...]

Poly1305 nécessite de travailler avec des grands nombres et le RFC déconseille d'utiliser la plupart des bibliothèques existantes de gestion des grands nombres comme celle d'OpenSSL. Celles-ci sont trop souvent vulnérables à des attaques par mesure du temps écoulé et le RFC conseille d'utiliser uniquement des bibliothèques qui font leur travail en un temps constant, comme NaCl. »

« Depuis quelques jours, l’affaire Krach.in fait couler pas mal de pixels. Si vous avez loupé les épisodes précédents, un blogueur a été condamné à 750 euros d’amende. Son crime ? Avoir rédigé des articles liés à la sécurité informatique, des articles précis, argumentés, démonstratifs, la seule manière de faire comprendre un problème de sécurité afin de s’en prémunir… et c’était bien évidement sur la prévention des risques que ces articles étaient ciblés. »

« C'est donc à partir du mardi 2 juin et jusqu'au mardi 9 juin 2015 que le Sénat examinera en séance plénière le projet de loi Renseignement. [...]  le vote solennel est programmé le 9 juin à 15h45.

[...]

Comme nous l'avions expliqué, ce calendrier devrait faire que le projet de loi Renseignement soit promulgué cet été, à l'ombre des cocotiers. Après le vote solennel du Sénat, qui devrait intervenir avant la mi-juin, le texte devra être renvoyé en commission mixte paritaire (CMP) pour que les quatorze représentants désignés des deux chambres parlementaires se mettent d'accord sur un texte commun, qui sera ensuite soumis à l'approbation de l'Assemblée nationale et du Sénat. Ceci prendra au minimum une semaine, mais très probablement davantage. Une fois le texte définitivement adopté par le Parlement, il faudra ensuite que le président de la République saisisse le Conseil constitutionnel, lequel disposera d'un délai d'un mois pour statuer, sauf si Manuel Valls lui demande de se prononcer en urgence, ce qui ne lui accorderait que 8 jours de réflexion. »

Et n'oublions pas :  « Mardi 12 mai, la commission des lois et la commission des affaires étrangères ont entendu Bernard CAZENEUVE, ministre de l'Intérieur, et Jean-Yves LE DRIAN, ministre de la Défense, sur le projet de loi relatif au renseignement. ». Source : http://www.senat.fr/espace_presse/actualites/201505/un_projet_de_loi_pour_renforcer_les_services_de_renseignement.html

« Le 8 avril, TV5 monde a été victime d’un piratage. La chaine a cessé d’émettre, ses réseaux sociaux ont été piratés et son site web rendu indisponible. Un groupe du nom de « cyber caliphate », apparemment pro-Daesh, a revendiqué l’attaque. Le lendemain, pas moins de trois ministres (link is external), Bernard Cazeneuve, Laurent Fabius, et Fleur Pellerin, se sont déplacés dans les locaux de la chaîne pour apporter leur soutien aux équipes.

[...]

Le groupe « cyber caliphate », qui revendique l’attaque sur son site (sache qu’en cliquant sur ce lien, tu t’exposes à être signalé par les “boîtes noires” du gouvernement censées traquer les terroristes ) a aussi diffusé « des documents présentés comme des pièces d’identité et des CV de proches de soldats français impliqués dans les opérations contre l’Etat islamique. »

[...]

Contrairement aux assertions des cybers califes, on n’y trouve aucun document classé secret défense. Pêle-mêle : il y a le règlement intérieur d’une mairie, des annonces d’emploi pour des services municipaux, des extraits de budgets ou des fiches d’inscription à des activités de loisir. Ces documents ont été probablement récupérés en piratant des systèmes mal protégés (Google est magique pour faire ce genre de choses (link is external)) et présentés comme top secret pour impressionner. De quoi donner une sacrée aura à nos cyber-djihadistes.

Détail amusant, parmi ces documents, on trouve une photo d’une dame d’un certain âge, nue, dans les bois, brandissant une arbalète (link is external). Plutôt étonnant pour des gens se revendiquant d’un mouvement religieux extrémiste qui interdit aux femmes de montrer plus que leurs yeux.

[...]

Si l’on en croit les déclarations assez confuses de l’équipe de TV5 Monde, ce serait la chaîne elle-même qui aurait décidé de couper la diffusion et de mettre son site web en carafe afin d’éviter une infection plus importante de son réseau. Il est donc très probable que les pirates aient vraiment réussi à s’introduire dans le réseau de TV5 Monde. Décelant des anomalies réseaux, l’équipe technique a pris la décision de couper celui-ci.

[...]

Et là j’en viens à TV5 Monde. Couper son réseau pour interrompre une attaque, c’est un peu comme se couper une jambe pour soigner un ongle incarné. C’est une solution radicale. Peut-être que les équipes techniques ont sur-réagi, et ce serait le moins pire des scénarios. Dans le cas contraire, cela signifierait que le réseau de TV5 Monde n’est pas compartimenté et ça, c’est très mal. N’importe quel ingénieur réseau vous expliquera qu’il est inutile, voire dangereux, de connecter des machines et des fonctions qui n’ont aucun rapport entre elles. En gros, si j’arrive à prendre le contrôle de la machine à café, celle-ci étant sur le même réseau que le serveur de mail, je peux non seulement changer le nombre de sucrettes dans les cafés mais je peux aussi lire les mails de tout le monde.

Il semblerait que les bonnes pratiques en matière de sécurité ne soient pas vraiment la spécialité de TV5 Monde. Le 9 avril, le lendemain de la « cyber attaque », un reportage du JT de 13h de France 2 dans les locaux de la chaîne montre certains des mots de passe des comptes de TV5, affichés sur une simple feuille A4 derrière le journaliste interviewé. Celui de YouTube était d’ailleurs « lemotdepassedeyoutube », un mot de passe assez peu résistant à une attaque par dictionnaire (link is external)…

Ce genre de pratique jette un nouvel éclairage sur « l’exploit » technique des cybers califes.

[...]

Il est quand même fort probable qu’on ait ici affaire à quelques ados malins et un peu dérangés plutôt qu’à de vrais experts acquis à la cause de Daesh. Le texte du communiqué des cybers califes vient mettre encore un peu plus de plomb dans l’aile de la thèse de super hackers planqués au fin fond du désert à la solde de Daesh. Ainsi que l’a expliqué le journaliste de France 24 (link is external) Wassim Nasr à Arrêt sur images : « celui qui a écrit le communiqué n’a pas pour langue maternelle l’arabe. Il y a trop de fautes. » En plus des problèmes de syntaxe, explique-t-il, l’auteur du texte ne « connait pas les bases de la religion musulmane. » »

Via http://seenthis.net/messages/367769

"Ainsi commence le fascisme. Il ne dit jamais son nom, il rampe, il flotte, quand il montre le bout de son nez, on dit : C'est lui ? Vous croyez ? Il ne faut rien exagérer ! Et puis un jour on le prend dans la gueule et il est trop tard pour l'expulser."
Françoise Giroud - 1916 - 2003

« Crypto-PAn is a  cyrptography-based sanitization tool for network trace owners to anonymize the IP addresses in their traces in a prefix-preserving manner.  Crypto-PAn has the following properties:

    One-to-one  The mapping from original IP addresses to anonymized IP addresses is one-to-one.

    Prefix-preserving    In  Cyrpto-PAn, the IP address anonymization is prefix-preserving. That is, if two original IP addresses share a k-bit  prefix, their anonymized mappings will also share a  k-bit prefix.

    Consistent across traces Crypto-PAn allows multiple traces to be sanitized in a consistent way, over time and across locations.  That is, the same IP address in different traces is anonymized to the same address, even though the traces might be sanitized separately at different time and/or at different locations.

    Cryptography-based    To sanitize traces, trace owners provide Crypto-PAn a secret key.  Anonymization consistency across multiple traces  is achieved by the use of the same key.  The construction of Crypto-PAn preserves the secrecy of the key and the (pseudo)randomness of the mapping from an original IP address to its anonymized counterpart. »