GuiGui's Show

« Pour économiser du temps, les députés et les Etats ont pris l’habitude de se mettre d’accord lors de réunions à huis clos.

Lors des "trilogues" [NDLR :  un « mandat de négociation »], le Parlement donne souvent au député auteur du texte, dénommé "rapporteur", le rôle de négocier avec les Etats. Il est épaulé par les députés des autres groupes politiques qui ont aussi travaillé à l'élaboration de la position de l'institution (les rapporteurs fictifs). Ils sont souvent accompagnés de leurs assistants.

Les Etats sont pour leur part représentés par la présidence tournante de l’UE. Chacun est là pour défendre son mandat et tout faire pour ne pas à avoir à renier ses lignes rouges.

La Commission européenne envoie le chef de l'unité responsable de la directive ou du règlement. Jusqu'à trois personnes peuvent l'assister et il arrive qu'il soit remplacé par son adjoint ou un directeur.

Lors des premières réunions, les différents sujets de désaccords sont séparés en deux : les points politiques et les points techniques. Les représentants officiels se concentrent sur les premiers, quand les seconds sont discutés encore à part, entre experts de chaque camp.

Lorsque l'accord se fait sentir, le ministre de la présidence et le président de la commission parlementaire font parfois le déplacement pour boucler les derniers détails et annoncer le compromis.

[...]

Depuis la mise en place du traité de Lisbonne en 2009, le Parlement et le Conseil sont sur un pied d’égalité dans de nombreux domaines. Pour se mettre d’accord, les deux institutions ont ainsi pris l’habitude de discuter entre elles, au sein de ce qu’on appelle désormais les « trilogues ».

Ces négociations à huis clos rassemblent des représentants du Parlement, des Etats et de la Commission.

[...]

Ces discussions feutrées permettent des compromis politiques et techniques, mais réduisent la visibilité des débats et leur possible médiatisation auprès de l’opinion publique. Et ce, même si par la suite tout compromis doit être validé par les élus et les ministres. Une fois l’accord conclu, plus personne ne peut modifier le texte.

[...]

“Il faut bien avoir en tête que la position du Conseil est déjà le résultat d’un compromis entre les Etats membres”, déclare un diplomate européen. “Plus le dossier est sensible, moins les députés peuvent espérer obtenir des concessions”.

    “Lors des discussions autour de la réforme de la Politique agricole commune, tout a été décidé entre les chefs d’Etat et de gouvernement, en particulier au niveau de la répartition de l’enveloppe. Les députés ont fait face à un mur, et ils ont perdu sur l’immense majorité des points. ”

[...]

En effet, lors des trilogues, la Commission dispose d’un dernier atout dans sa manche pour faire infléchir les discussions. Si elle ne valide pas le compromis, le Conseil doit l’approuver à l’unanimité, une mission presque impossible avec 28 pays…

[...]

Ce recours massif aux trilogues au sein des institutions européennes soulève de nombreuses questions, à commencer par leur légitimité. Ne cherchez pas leur description au sein des traités, la procédure n’est pas prévue.

“Dans la procédure normale, sans accord après la 2e lecture, le traité prévoit une conciliation entre les deux parties qui est très proche du format du trilogue”, explique un fonctionnaire européen. Il ne s’agirait ainsi que d’un raccourci.

    Sans ce système improvisé, “les discussions autour d’une directive prendraient beaucoup plus de temps”. »

Via https://www.laquadrature.net/fr/lunion-europeenne-tente-encore-de-sacrifier-la-neutralite-du-net

« Dans une soudaine envie d’harmonisation, la SNCF a torpillé le site Infolignes. Du coup, Raildar ne pouvait plus récupérer ses infos temps réel. Pour parfaire le tableau, ils ont installé tout un tas d’éléments pour m’empêcher d’appliquer le même principe sur leur nouveau truc. Du coup nous nous fournissions sur le serveur alimentant les applications mobiles de la SNCF, mais nous en avons été virés comme des malpropres.

Du coup ben … tant pis. »

«  Cet étudiant s’est rendu compte que l’application de messagerie Facebook Messenger transmettait, par défaut, les données de géolocalisation de chaque message envoyé. Des informations si précises qu’elles permettent de localiser l’auteur d’un message à un mètre près.

« J’ai donc décidé de m’amuser un peu avec ces données », explique l’étudiant dans un billet publié sur la plate-forme Medium mardi 26 mai. Il a ainsi codé une extension pour le navigateur Chrome, capable de collecter ces données de localisation et de les afficher sur une carte. Les informations qu’elles ont permis de révéler sont d’une grande précision.

[...]

Car nul besoin d’être « ami » avec une personne pour accéder à ses données de localisation : il suffit de partager un message avec elle, même dans le cadre d’un tchat de groupe.

[...]

Au bout de plusieurs semaines, il a même réussi à établir l’emploi du temps de cette personne, en observant ses déplacements réguliers. « Avec ça, vous pouvez prévoir exactement dans quel bâtiment il se trouvera à une heure donnée », souligne-t-il.

[...]

Il est toutefois possible d’échapper à la surveillance de Facebook Messenger en désactivant la localisation par défaut dans les paramètres de l’application. »

« Comme prévu, la Cour de cassation a finalement rejeté le pourvoi en cassation d’Olivier Laurelli (plus connu sous son pseudo Bluetouff). [...] Le 5 février 2014, Olivier Laurelli est reconnu coupable de piratage informatique par la cour d’appel de Paris, laquelle renversait le jugement du tribunal de Créteil. Plus précisément, la justice le condamne pour maintien frauduleux dans un système de traitement automatisé de données, mais également de vol de fichiers informatiques au préjudice de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (ANSES). »

cf http://shaarli.guiguishow.info/?WWo2Lw

Je note :
  * Accès fraduleux à un STAD : charge non retenue et c'est bien normal : en venant de Google, Bluetouff est tombé dans l'arboresence, pas sur la page d'authentification en haut de cette arborescence donc il n'avait aucune information lui indiquant qu'il était entré dans une propriété privée.

  * Maintien dans un STAD : compte-tenu de ses aveux en garde à vue, ce point est beaucoup plus contestable. Il y a une page d'authentification en haut d'une arboresence mais la protection ne s'applique pas au reste de l'arborescence (il y a une porte mais pas de murs). Google a vu/parcouru l'arborescence, Bluetouff aussi. Question : les docs en bas de l'arborescence sont confidentiels ou pas si tu as commencé ta navigation par le bas, que t'es remonté et que t'as vu la page d'auth ? Les juges ont dit oui donc maintient frauduleux : il est resté après avoir vu  qu'il y a une page de login car il ne savait pas si ça s'appliquait au reste de l'arborescence. Ne pas oublier que les mix infos publiques/privées/pages d'auth existent. Exemple tout bête : Facebook. Il y a bien des profiles publiques et pourtant, à la racine du site, il y a une page d'authentification... Dans le monde du travail, on voit aussi des extranet qui mélangent docs publics, docs privés pour les partenaires et docs pour que les employés de la société puissent les consulter depuis n'importe où (oui, un VPN serait plus adéquat) et les différents niveaux de sécurité sont loin d'être positionnés correctement.

  * Je ne comprends pas du tout le vol de fichiers... Extraction illicite / reproduction illicite / contrefaçon, je veux bien mais pas vol : il n'y a pas eu soustraction du bien d'autrui : l'ANSES possède toujours ces fameux fichiers copiés. Peut-être un manque dans le corpus législatif en dehors de la propriété intellectuelle ? D'où la loi renforçant la lutte contre le terrorisme de 2014 qui évoque l'extraction, la détentention, la reproduction et la transmission frauduleuses là où l'article 323-3 prévoyait initialement uniquement la suppression et la modification frauduleuses.

ÉDIT du 22/05/2015 à 15h28 : L'article de Reflets, https://reflets.info/notre-pourvoi-en-cassation-est-rejete/, est partiel : il n'évoque pas le fait que Bluetouff a déclaré avoir vu la page d'auth et avoir quand même téléchargé 7.7G de documents après. C'est cela qui constitue le maintient ! Autrement dit, il n'est pas certain que la justice juge coupable quelqu'un qui clique simplement sur un des résultats d'un moteur de recherche, tombe sur des documents que l'administrateur croient confidentiels, ne remonte pas l'arborescence, ne voit donc pas la page d'auth et donc ne dira pas aux policiers "j'ai bien vu la page d'auth mais je ne savais pas si elle s'applique au reste de l'arborescence" et donc ne tombera pas dans le cas ambigu pas public/public que j'ai expliqué plus haut. L'accés fraduleux sera retoqué, le maintient aussi (car dl du document puis départ du site sans avoir vu la page d'auth), il ne restera que ce dangereux vol de documents... Comme pour Krash.in (cf http://shaarli.guiguishow.info/?HFjuRg), c'est Bluetouff qui s'est déclaré coupable. FIN DE L'ÉDIT.

« Au début du mois de mars, la faille FREAK secouait Internet, pour plusieurs raisons. Tout d'abord, car elle permettait (et permet toujours) d'intercepter des échanges de données chiffrés entre un serveur et un navigateur. Ensuite car il s'agissait d'un reliquat des années 90 lorsque les États-Unis limitaient l'exportation des systèmes de chiffrements à 512 bits maximum

[NDLR : donc encore une faille due à la législation US anti-crypto des années 90... ]

Il convient néanmoins de relativiser puisqu'il faut procéder à une attaque de type « homme du milieu » pour l'exploiter, et donc être sur le même réseau (un « hot-spot » Wi-Fi par exemple), ce qui n'est pas toujours des plus pratiques. On est loin de la portée de Heartbleed par exemple, qui permettait à n'importe qui de lire des données directement dans la mémoire d'un serveur (identifiant, mot de passe, carte bancaire, etc.).

Mais une faille peut en cacher une autre et voilà désormais qu'il est question de Logjam. Elle est détaillée dans ce document, signé par des chercheurs de l'INRIA de Paris et de Nancy, de l'université de Pennsylvanie, de Johns Hopkins, du Michigan et de chez Microsoft Research. Selon les chercheurs, « cette attaque rappelle FREAK, mais elle est due à une faille dans le protocole TLS plutôt qu'à une vulnérabilité dans son implémentation, et elle cible un échange de clés Diffie-Hellman plutôt que d'un échange de clés RSA ».

Avec la faille FREAK et l'utilisation de la fonction « export RSA », un serveur répond avec une clé RSA de 512 bits, tandis qu'avec Logjam et « DHE_EXPORT », serveur et navigateur procèdent à un échange de clés via le protocole Diffie-Hellman, mais dans des groupes de 512 bits seulement... ce qui n'est pas suffisant pour résister à une attaque. On notera que ce problème avait déjà été évoqué par certains il y a plusieurs mois. La situation n'est donc pas nouvelle, mais elle prend une autre tournure.

[...]

En effet, les chercheurs à l'origine de la publication de Logjam indiquent qu'un groupe de 1 024 bits peut être « cassé » par un pays ayant suffisamment de moyens (on pense notamment à la NSA qui décrypte à tout-va), et cela ne fera qu'empirer avec le temps. Le cryptographe de Google rejoint cette conclusion : « Un minimum de 1024 bits ne suffit pas sur le long terme. [...] Alors que nous approchons de l'élimination du chiffrement RSA sur 1024 bits, nous nous interrogeons de manière plus générale sur la prise en charge des groupes non elliptiques DHE dans TLS ». Cela laisse entendre que cette méthode pourrait disparaitre à terme, en tout cas chez Google. »

Leçon Java du jour : se souvenir que les String sont non modifiables. Conclusion : concatener 2 String dans une boucle sur 25000 éléments, ça va prendre beaucoup de temps (1 minute 40 secondes) car la JVM va passer son temps à créer/supprimer des objets. La même boucle avec StringBuffer : 25 ms...

Une  œuvre de l'esprit sous licence libre et en prix libre ? Ça ne marchera jamais... Après la musique, les jeux vidéos, des livres numériques, voici un exemple de plus...

« Je me suis alors posé cette question : « Qui suis-je pour décider arbitrairement de limiter l'accès au savoir contenu dans le livre à ceux qui peuvent débourser 9,99€ ? » Après tout, si j'ai pu écrire ce livre, c'est grâce à ceux avant moi qui ont bien voulu donner de leur temps. C'est un livre basé sur un logiciel libre et sur les connaissances que j'ai accumulées grâce aux personnes qui ont bien voulu faire des articles de blog sur le sujet.

Est-ce que le fait de compiler tout cela dans un livre justifiait le fait de limiter l'accès en le rendant payant à prix fixe ? Plus j'y réfléchissais et plus je me disais que non. J'ai bâti mes connaissances sur celles des autres et rien ne justifie que je me les approprie. Tout le monde devait pouvoir profiter de ce livre, qu'ils aient de l'argent ou pas. Je me devais donc de le rendre accessible sans argent. Certes, mais j'avais peur. Peur de ? Peur qu'on me pirate mon livre en masse et que je ne gagne plus rien avec ! Si je ne forçais pas les gens à payer, personne ne paierait non ? Vous en avez payé combien des sharewares vous ?

[...]

Avant le prix libre : 1 an et demi, 90 téléchargements, prix de 9,99€, dons association 0€, licence non libre, argent gagné : 621€.

Après le prix libre : 8 mois, 1619 téléchargements, prix moyen 9€, dons association 366€, licence libre, argent gagné : 870€.

En passant mon livre à prix libre j'ai donc : permis à tout le monde de le lire, gagné plus d'argent et agit pour la bonne cause en aidant Framasoft. Finalement, j'avais tout à y gagner à le faire, mais pour ça, il fallait que j'essaie. Il fallait que j'aille au delà de la peur que j'avais de donner mon travail. Il fallait que je responsabilise les « acheteurs » et que je leur fasse confiance. »

L'amendement en question (COM-193) a été retiré apparemment mais c'est révélateur : certains de nos représentants pensent déjà à aller plus loin dans la surveillance généralisée, c'est un fait. Tout comme à l'issue de la loi anti-terrorisme, une députée a déclarée, en gros "c'est bien d'avoir voté ce texte mais à l'avenir, il faudra s'attaquer au chiffrement, etc". Tout comme certains élus ont très vite pensé à étendre la censure administrative introduite par la même loi anti-terroriste à injure et diffamation, anorexie,... (cf : http://shaarli.guiguishow.info/?kRUkFw). C'est toujours comme ça.

« Les sénateurs UDI Joël Guerriau, Claude Kern et Jean-François Longeot proposent d'étendre la liste déjà longue des domaines pour lesquels les services de renseignement peuvent déployer tout un arsenal de mesures de captations d'informations confidentielles en France ou à l'étranger.

Les sénateurs souhaitent ainsi qu'en plus (entre autres) des intérêts économiques, industriels et scientifiques majeurs de la France, les barbouzes puissent aussi s'occuper des intérêts "sanitaires, énergétiques, scolaires, administratifs, culturels, cultuels, (et) sportifs". »

« Au Sénat, la commission des affaires étrangères, de la défense et des forces armées n’a pas bouleversé le chantier du projet de loi renseignement.

[...]

Surtout, les sénateurs ont revu considérablement la définition des finalités justifiant la mise en œuvre du renseignement. Ces finalités avaient été élargies par les députés. [...] Pourquoi avoir supprimé le mot « majeur » ? Selon le rapport de la commission sénatoriale, « sauf à exposer dans un document de référence émanant de l’exécutif ce que sont les intérêts majeurs de la politique étrangère, il paraît (…) très incertain de laisser à la jurisprudence, fût-elle celle d’une Haute juridiction comme le Conseil d’État, le soin de les définir. » Concrètement, cela laissera donc plus de latitude au gouvernement et au président de la République pour décider du déploiement des mesures de surveillance. [...] De même, les sénateurs ont faussement enterré la finalité des « armes de destruction massive », tout simplement parce que leur lutte s’incruste déjà dans les engagements internationaux passés par la France, une référence qui fait d’ailleurs ici son retour ( « des engagements européens et internationaux de la France »), comme le prévoyait initialement le texte gouvernemental.

[...]

Dans le déroulé des mesures de renseignements, le projet amendé met désormais dans la boucle la délégation parlementaire du renseignement, laquelle sera informée de l'ensemble des services qui seront reconnus aptes à pratiquer l’espionnage.

[...]

Autre apport notable, les membres de la commission des affaires étrangères, de la défense et des forces armées ont amendé les procédures d’urgence qui permettent de déployer le renseignement sans en informer préalablement la Commission de contrôle des techniques de renseignement. Dans le texte de base, cette faculté était ouverte en cas d’ « urgence absolue ». Désormais, c’est en cas de « menace imminente ». Ce remplacement ouvre sans doute plus grandement les voies de cette procédure exceptionnelle puisque cette menace est expliquée sous le vocable de « risque très élevé » par le rapport, moins anxiogène que l’ « urgence absolue » initiale.

[...]

Dans l’actuelle version, celle votée à l’Assemblée nationale, les renseignements collectés lors des écoutes administratives doivent être détruits à l’issue d’une durée de trente jours à compter de la première exploitation, et dans un délai maximal de six mois à compter de leur recueil. Les sénateurs ont modifié l’économie calendaire : la destruction se fera dans les 30 jours après recueil et dans un délai de 60 jours mais pour les seules correspondances en langue étrangère.

[...]

la composition de la CNCTR. Après quelques hésitations, les députés avaient porté à 13 le nombre de personnes autour de la table (3 députés, 3 sénateurs, 6 magistrats et un représentant désigné par l’ARCEP). Les sénateurs lui préfèrent une commission restreinte à 9 membres (2 députés, 2 sénateurs, 2 magistrats du Conseil d’État, 2 magistrats de la Cour de cassation, 1 représentant de l’ARCEP). Dans le même temps, ils ont réduit le nombre de personnes exigées pour que les délibérations soient considérées comme valables (de 6 à 4). [...] Que ce soit 13 ou 9, Claude Malhuret s’est interrogé le 13 mai sur la capacité de la CNCTR à pouvoir absorber l’ensemble des demandes d’avis émises par l’exécutif, avant espionnage : « un total de 6 000 autorisations annuelles a été évoqué lors de l’audition des ministres, soit 20 par jour. Comment la CNCTR va-t-elle pouvoir donner autant d’avis ? ». À cette question, le ministre de l’Intérieur a promis des explications en séance publique, d’après Jean-Pierre Raffarin, rapporteur pour avis sur le texte. Un détail d'importance : lorsque la CNCTR n'aura pas rendu d'avis suite à une demande du premier ministre, son avis sera réputé rendu...

[...]

Lorsqu’on aborde le cœur des techniques de renseignement, des modifications ont été apportées sur les sondes. Rappelons-le : elles permettront d’aspirer les données de connexion chez l’ensemble des acteurs (sites, FAI, opérateurs télécoms ou en ligne, hébergeurs, etc.), en temps réel et directement sur leur réseau, sans l'aval des intermédiaires. « Selon les explications fournies par les responsables des services de renseignements, il s’agit de pouvoir vérifier qu’un groupe d’individus inscrits sur une liste et qui ont été, à un moment donné, impliqués dans les agissements d’un groupe terroriste, ne sont pas à nouveau entrés en relation. Une sonde sera ainsi placée sur le réseau afin de pouvoir comparer les métadonnées relatives à ces individus avec les métadonnées circulant sur ce réseau ». Un véritable pipeline à vie privée, donc. L'aveu risque d'avoir l'effet d'une douche froide chez les acteurs du Net qui espéraient pouvoir sortir tête haute de ce texte... [...] Normalement, le mécanisme doit cibler des personnes « préalablement identifiées comme présentant une menace ». Les sénateurs ont toutefois interdit cette arme préventive dans un cadre exceptionnel, celui de la menace imminente.

[...]

Par contre, ils n’ont pas touché d’un cheveu aux boites noires, alors que plusieurs critiques et inquiétudes s’étaient déjà fait entendre au Sénat à leur encontre, sans compter celles de la société civile. Un fait intéressant a été mis en évidence par Jean-Pierre Raffarin : «  selon les explications fournies à votre rapporteur lors des auditions qu’il a menées, les services n’auront pas directement accès au résultat de la mise en œuvre de l’algorithme (c’est-à-dire au produit du filtrage). Ce n’est que dans le cas où les données recueillies après autorisation du Premier ministre sembleront pertinentes (notamment qu’elles ne sont pas trop nombreuses, révélant ainsi l’inadéquation des critères retenus) et qu’elles révèleront une menace, qu’elles leur seront rendues accessibles ». Ce détail pratique ne ressort cependant pas du projet de loi... Il faudra donc faire confiance aux propos de l'exécutif...

Mêmes consécrations pour les mesures de surveillance internationales, la sonorisation des lieux privés, la possibilité d’effectuer du piratage légal, ou les dispositions relatives aux lanceurs d’alerte : toutes ont été sacralisées.

[...]

Inversement, les sénateurs ont réintroduit techniquement le mécanisme de l’IMSI catcher, ces fausses antennes relai qui permettront d’aspirer tout ce qui passe dans leur spectre (amendement 20). Sans entrer dans les détails techniques du texte (nous l'avons déjà fait ici, notamment), cette substitution va quelque peu raboter la portée de ces mesures d’espionnage, que les députés avaient considérablement étendu. [...] Ces techniques de renseignement ne pourront en tout cas pas viser une profession sensible (journaliste, avocat, parlementaire, etc.) sauf désormais « s’il existe des raisons sérieuses de croire que la personne visée agit aux ordres d’une puissance étrangère, dans le cadre d’un groupe terroriste ou d’une organisation criminelle ». Les sénateurs ont voulu ici limiter un angle mort, puisque le projet de loi ne permettait pas ces mesures dès lors que la personne ciblée était par exemple un parlementaire. Cependant, cette possibilité est accompagnée d'une série de garanties. La CNCTR entre par exemple dans la boucle et sera avertie dans les deux heures des suites que le premier ministre entend donner à sa recommandation. [...] Seulement, comment la boite noire, la sonde et la fausse antenne relai sauront éviter d’aspirer des données relatives à ces professions ? Leur principe même repose en effet sur la collecte massive, plus que la frappe chirurgicale... »

Ma TODO pour me faire de simples points d'accès WiFi avec OpenWRT :
1) Flasher avec OpenWRT

2) Positionner boot_wait / boot_time / wait_time, ce qui permet un reflash facile en utilisant TFTP

3) Changer le mot de passe root (et activer ssh automatiquement)

4) Changer le nom de la borne / serveur NTP

5) Désactiver DHCP sur l'interface lan (le bridge en vrai) et faire la configuration : IP statique, serveurs DNS récursifs, routeur de sortie du réseau

6) Supprimer l'interface wan. Optionnel : rattacher l'interface wan au bridge lan dans le but d'avoir un port de plus disponible

7) Désactiver le firewall

8) Configurer l'interface WiFi (SSID, sécurité, ...)