GuiGui's Show

« Traditionnellement, pour trouver de l'information sur un objet enregistré dans une base de données publique de l'Internet (nom de domaine, adresse IP, etc), on utilisait le protocole whois (qui avait été normalisé, longtemps après sa création, dans le RFC 3912). Ce protocole a de grosses limitations (décrites au paragraphe suivant) et plusieurs tentatives ont déjà été faites pour le remplacer. Le nouveau venu, RDAP (Registration Data Access Protocol), va t-il mieux réussir que les précédents ?

Attention, comme le note le document SAC-051 « SSAC Report on Domain Name WHOIS Terminology and Structure », le terme « whois » est souvent employé incorrectement. Il désigne normalement un protocole (celui normalisé dans le RFC 3912) mais est également utilisé pour désigner un service (celui d'accès aux données d'enregistrement) voire pour désigner les données elle-mêmes (« informations WHOIS », terme erroné mais fréquent).

[...]

 Parmi les principales limites de whois :

    Aucun mécanisme d'authentification, donc pas de possibilité de restreindre les données selon le client (certains registres utilisent l'adresse IP du client pour donner des privilèges à certains clients),
    Aucun mécanisme de confidentialité (ce point est lié au précédent : comme tout est public actuellement, la confidentialité ne servirait à rien),
    Aucun mécanisme standard pour fournir des options spécifiques à la recherche,
    Aucune structuration des données : le client doit analyser des dizaines de formats différents pour trouver ce qu'il cherche (certains logiciels le font pour lui, comme Net::DRI mais ils sont rarement complets, il y a toujours un serveur whois quelque part qui suit des règles différentes et non reconnues) ; même chose pour les messages d'erreur (comme « entitée non trouvée »),
    Aucune internationalisation : peut-on envoyer de l'Unicode en réponse à un client et, si oui, avec quel encodage ?
    Aucune façon normalisée d'adapter le résultat au lecteur (par exemple envoyer une adresse en caractères chinois ou bien en caractères latins selon le client),
    Aucun mécanisme standard pour trouver le serveur pertinent pour un objet donné : chaque client whois utilise un truc particulier (par exemple, GNU whois a une liste de serveurs, qu'on peut modifier en éditant un fichier de configuration /etc/whois.conf).

Cette liste est connue depuis longtemps. C'est ainsi que le RFC 3707 dressait déjà un cahier des charges d'un bon successeur de whois.

En mai 2012, après pas mal de discussions, l'IETF a créé le groupe de travail WEIRDS pour produire un remplaçant à whois. Ce groupe WEIRDS publie aujourd'hui RDAP (Registration Data Access Protocol), le nouveau protocole. Ses principes ? Modularité (on peut utiliser plusieurs protocoles de transport, le langage d'expression des requêtes est séparé de la définition du format des réponses), et le respect des modes actuelles. Le premier transport normalisé utilise REST et le premier format de réponses est bâti sur JSON (RFC 7159).

[...]

RDAP remplacera-t-il whois ? C'est que whois en a eu, des concurrents malheureux, et que tous sont bien oubliés aujourd'hui. Dans l'ordre rétro-chronologique :

    IRIS (RFC 3981), qui reposait sur XML et un protocole spécifique. Trop compliqué, il a eu peu de déploiements (DENIC avait un service IRIS mais y a renoncé).
    LDAP avait été sérieusement proposé comme concurrent mais sans jamais de succès.
    rwhois (RFC 2167), le seul à avoir connu un réel déploiement, à l'ARIN (voir la documentation).
    whois++ (RFC 1913).

En tout cas, RDAP est déjà largement mis en œuvre (dix implémentations dont l'interopérabilité a été testée au cours de réunions IETF) même s'il n'y a guère de déploiement en production pour l'instant.

[...]

 C'est bien compliqué, tout ce JSON. Et si on veut juste extraire certaines informations ? On peut utiliser un client RDAP spécialisé, ou écrire soi-même un traitement, ou encore se servir des processeurs JSON tout faits comme jq : »

« Comme l'attaque sur l'équipe de Charlie Hebdo l'a démontré début janvier, des journalistes du monde entier sont actuellement la cible d'agresseurs. Des extrémistes religieux en sont responsables, mais souvent, ce sont des gouvernements et des groupes politiques qui sont à l'origine de violences commises contre ces hommes et ces femmes qui retranscrivent la vérité. »

Via http://korben.info/news/morts-pour-avoir-dit-la-verite-vice-france

Un excellent reportage court (30 minutes) sur l'action anti-corruption de Larry Lessig. À voir.

Aux USA, 96% des parlementaires sont élus par l'argent de leurs donateurs (qui représentent 1% de la population), pas pour leurs idées. Ils passent donc entre 30% et 70% de leur temps de travail à la collecte de fond pour la prochaine campagne. Ils sont également sous pression constante pour ne jamais decevoir leurs donateurs dans leurs actions politiques.

Pire que tout : 96% des américains estiment que l'appareil politique état-unien est totalement corrompu. 91% considèrent qu'il n'y a rien à faire, qu'on ne peut rien changer. La résignation totale... :(

But du projet de Lessig : collecter de l'argent de manière participative permettant la création d'un super PAC (Mayday PAC, https://en.wikipedia.org/wiki/Mayday_PAC) permettant lui-même l'élection de personnalités politiques qui s'engagent à voter la réforme du système de financement des partis politiques voulue par Lessig. En gros : super "hack" du fonctionnement des élections américaines, comme les licences libres le sont pour le droit d'auteur. :)

Aux élections partielles de mi-novembre 2014, 2 candidats sur 8 ont été élus.

Extrait de son talk TED « We the People, and the Republic we must reclaim » pour ceux qui sont résignés : « But even if you're not yet with me, even if you believe this is impossible, what the five years since I spoke at TED has taught me as I've spoken about this issue again and again is, even if you think it's impossible, that is irrelevant. Irrelevant. I spoke at Dartmouth once, and a woman stood up after I spoke, I write in my book, and she said to me, "Professor, you've convinced me this is hopeless. Hopeless. There's nothing we can do." When she said that, I scrambled. I tried to think, "How do I respond to that hopelessness? What is that sense of hopelessness?" And what hit me was an image of my six-year-old son. And I imagined a doctor coming to me and saying, "Your son has terminal brain cancer, and there's nothing you can do. Nothing you can do." So would I do nothing? Would I just sit there? Accept it? Okay, nothing I can do? I'm going off to build Google Glass. Of course not. I would do everything I could, and I would do everything I could because this is what love means, that the odds are irrelevant and that you do whatever the hell you can, the odds be damned. »

Le reste est une biographie sommaire de Larry Lessig avec, forcément, Aaron Swartz compte tenu de la proximité entre les deux hommes et du fait que c'est ce dernier qui a inspiré Larry pour commencer son combat contre la corruption.

Voir aussi : ses talks à TED : https://www.ted.com/speakers/larry_lessig

« Suite à mon billet précédent, Projet de loi Renseignement : peut-être du mieux, indéniablement du terrifiant, j’ai été gentiment invité à Matignon avec des collègues du CNNum cité dans le communiqué de presse Renseignement et des membres du SG. D’autres personnalités et associations étaient invitées, mais n’ont pas pu ou pas voulu participer.

[...]

Ça n’est pas anodin que d’être invité par les services du premier ministre suite à un billet de blog et une citation dans un communiqué de presse. Vérification d’identités par des policiers en gilet pare-balles et mitraillette en bandoulière. Nous sommes 4 du CNNum, trois permanents du Secrétariat Général et moi, seul membre ayant pu me libérer. En face, 8 représentants du gouvernement, du premier ministre, de l’intérieur et de l’économie numérique. Du lourd. On sent une certaine tension… Mais aussi une envie de séduire, de créer des liens, comme si on entendait “nous sommes des gentils, aidez-nous à faire un bon projet de loi, c’est pour lutter contre le terrorisme (mais pas que)”.

[...]

Il y a une évidence : ces dernières années, les techniques de renseignement ont considérablement évolué, avec l’arrivée d’Internet et des téléphones portables. Là où on surveillait des allées et venues de suspects et des rencontres dans le monde réel ou sur des lignes téléphoniques fixes, on voit plutôt des gens qui se connectent à Internet depuis chez eux ou s’appellent sur des téléphones portables jetables (c’était le cas pour les terroristes de janvier). Evidemment, la loi n’était pas prévue pour cela et les les terroristes ont suivi les progrès technologiques. Les services ont souvent semble-t-il, profité de zones grises comme par exemple l’utilisation d‘IMSI-catchers (fausses antennes GSM permettant de localiser des téléphones et/ou des cartes SIM). L’utilisation d‘IMSI-catchers sans l’autorisation est en théorie interdite, mais si l’on en croit le Canard Enchaîné, c’est monnaie courante.

Il était temps de faire évoluer la loi encadrant le renseignement, et c’est la volonté de Manuel Valls, qui a toujours eu une fibre sécuritaire.

[...]

Nous voilà prévenus. Vouloir limiter l’action des agents de renseignement, c’est devenir complice du terrorisme. Voilà qui ne pousse pas à une réflexion sereine. C’est dommage, les enjeux sont colossaux, et la loi concerne le renseignement, dont le champ est bien plus large que simple terrorisme.

[...]

C’est là le cœur du problème, ce qui est pour moi ce qui ne peut être admis dans la loi Renseignement : le plan qui consiste à obliger les services Internet et fournisseurs d’accès à mettre des boites noires dans le coeur du réseau pour observer le trafic et signaler tout comportement suspect, qui sera transmis aux services de renseignements.

Je vous le répète, tellement c’est énorme : un algorithme, forcément secret car classé défense, va surveiller Internet. Pour désigner ensuite les suspects. C’est dérangeant à plusieurs niveaux.

D’abord, il y a un problème sémantique : d’après le gouvernement, ça n’est pas de la surveillance de masse, vu que c’est un logiciel qui surveille, et compte tenu des limites techniques, il ne peut pas tout surveiller. Il ne peut surveiller qu’un échantillon de l’Internet français. (D’après moi, avec la loi de Moore et l’augmentation des budgets de lutte contre le terrorisme, le pourcentage ne va cesser d’augmenter, mais on me répond que le trafic augmente aussi. Soit.) Ensuite, il ne doit pas trouver “trop de suspects, sinon c’est rejeté par la commission CNCTR” (commission nationale de contrôle des techniques du renseignement) qui approuve la levée de l’anonymat des suspects avant de les passer aux services qui vont ensuite espionner de façon traditionnelle (filature, mais aussi éventuellement, et c’est une nouveauté, mettre un keylogger sur leur PC).

C’est un peu comme si on me disait que Google ne fait pas de surveillance de masse en lisant tout le courrier transitant par Gmail, parce que “ce ne sont pas des humains qui lisent le courrier, ce sont des ordinateurs”. (On me l’a vraiment faite, celle-là, promis !). Sauf que les courriers sont analysés, y compris les pièces jointes. Et c’est ainsi que Google a dénoncé un pédophile en Août dernier. C’est très bien que ce pédophile ait été arrêté, mais ça reste de la surveillance de masse.

[...]

On part d’un problème sur lequel tout le monde est d’accord. Par exemple, le terrorisme. On met le mécanisme pour lutter contre en place. Et puis on l’étend, d’abord pour des causes aussi justes que la pédopornographie. Et puis on l’étend encore. Par exemple pour éviter que les mineurs ne tombent « par erreur » sur de la pornographie « normale » entre adultes consentants. Et puis derrière, ça se bouscule au portillon, on cherche à l’étendre encore plus, par exemple pour préserver les artistes qui meurent de faim à cause de ces salauds de pirates (si vous vous souvenez de ce que l’industrie de la culture a réussi à faire avec Hadopi, vous savez de quoi je parle). Dernièrement, on a même vu un élu demander à ce que les sites insultant les élus soient filtrés. C’est à peine croyable, une histoire pareille ? Et pourtant c’est ce qui se passe en Angleterre, où 20 % des sites les plus visités sont bloqués (le porno, c’est seulement 4 %)[1]. Le coup de l’élu qui veut censurer les sites injurieux, c’est français, par contre, et ça démontre que l’envie d’étendre le champ d’action des outils n’a pas de frontières.

Commencer à surveiller le net depuis des boites noires, juste pour le terrorisme, c’est ce début de brèche. Un début de brèche n’est pas innocent, parce qu’il va s’étendre à toute vitesse.

[...]

J’ai posé la question à mes interlocuteurs sur le problème de l’efficacité de cette surveillance. La réponse, laconique, fut « même si les terroristes peuvent se planquer derrière du chiffrement, faut-il pour autant ne pas essayer de les surveiller ? »

[...]

La surveillance de masse a un coût énorme. Pas seulement un coût financier, mais avant tout un impact négatif sur la société, en ce sens que c’est la négation de la démocratie, de la liberté des individus. C’est ce qui fait qu’on passe d’une société où le peuple élit ses représentants à un modèle où des gouvernants surveillent des gouvernés. Je ne veux pas de ce modèle, surtout si c’est pour une efficacité proche du néant. Bien sûr, avec la surveillance de masse, on va attraper des apprentis-terroristes, mais ça ne sera que du menu fretin, le pauvre type pas très malin qui rêve du grand soir djihadiste, mais qui a un QI proche de sa température rectale, un peu comme le crétin qui a voulu mettre le feu à ses semelles pour faire sauter un avion.

[...]

Le contexte, deux mois après Charlie Hebdo, tout juste trois ans après Mohamed Merah, fait que l’émotion l’emporte sur la raison.

Ça n’est pas une raison pour baisser les bras et laisser s’écrouler une des pierres angulaires de la démocratie, celle du respect de la vie privée, tellement importante qu’on la retrouve dans les textes de loi fondateurs. Saurons-nous, citoyens français, sortir de cette torpeur, de cette résignation, pour essayer de comprendre les enjeux de la loi Renseignement et s’opposer à elle dans ce qu’elle a de dangereux, tout en la modernisant là où c’est nécessaire ? »

« Cela ne veut pas dire que des contenus illicites n'existent pas, mais la démocratie ne devrait pas imposer de faire confiance à la police sur la qualité de ses propres jugements. La démocratie impose la transparence. Chaque citoyen doit pouvoir vérifier le bien-fondé des décisions prises en son nom, or en l'espèce le blocage n'est pas motivé par la moindre décision publique. Il est affirmé sur la page de redirection que le contenu d'Islamic-News "provoque à des actes de terrorisme ou fait publiquement l'apologie d'actes de terrorisme", mais sans que le moindre début de preuve soit apporté. Or l'internaute ne peut pas lui-même vérifier, sauf à contourner le blocage qui l'empêche de vérifier le bien-fondé de l'accusation.

[...]

Lors des débats parlementaires, le ministre avait affirmé que les sites bloqués seraient des sites dont l'illégalité ne ferait aucun doute. Or l'illégalité de Islamic News ne semble pas être de la première des évidences. C'est bien pour cela que le rôle du juge est primordial, et que l'on craint que ce soit aussi pour cela que le juge est contourné. Garant des libertés, il aurait peut-être jugé que le site exerçait son droit à la liberté d'expression, fut-ce pour proférer des opinions choquantes qui déplaisent au Gouvernement, ou qui sont contraires à ses intérêts stratégiques.

[...]

Pour justifier le recours aux ordres de police plutôt qu'à la justice, le Gouvernement avait argué de la nécessité d'aller vite pour contrer la propagande lorsqu'elle apparaissait sur Internet, sans subir la lenteur judiciaire. Mais Islamic News était en ligne depuis 2013. Où était l'urgence de faire fermer ce site en particulier, en se passant y compris d'une procédure de référé, accomplie en quelques jours à peine ?

[...]

Le recours gracieux ou le recours hiérarchique seront réputés rejetés en l'absence de réponse dans les deux mois. Il suffira donc que les services du ministère de l'intérieur gardent le silence pour conserver le blocage sans avoir à s'en expliquer. La seule possibilité pour le site en cause sera d'attendre l'expiration des deux mois pour introduire un recours au fond devant le tribunal administratif de Cergy-Pontoise, ou de tenter une procédure de référé-liberté.

[...]

 Sur le fond, le blocage du site est un signe de faiblesse de la part de la France, qui n'a pas suffisamment foi dans la force de conviction de ses propres arguments, et se sent obligée à la fois de payer Google pour faire connaître ses arguments, et de censurer les sites de ses adversaires. Or ce n'est certainement pas en démontrant ainsi sa faiblesse que l'on combat le mieux le terrorisme, qui puisera de la force dans cette censure.
 
En redirigeant les internautes vers une page d'accueil sous son contrôle, le ministère de l'intérieur se donne les moyens de connaître les adresses IP [NDLR : et les Host: , User-Agent: et co] de tous les internautes qui demandent à visiter ces sites, potentiellement au mépris de la liberté d'opinion. Nous attendons des précisions du Gouvernement sur la politique de conservation des données de connexion, et leur éventuelle exploitation. »

Nicolas Ruff pour "Les produits de sécurité français vus des tranchées" #JSSI15 :
    * Windows 2000 (et suivants) : il fallait mettre le pays sur "Luxembourg" et pas "France", sinon on n'avait pas de crypto... #JSSI15

    * Un produit de sécurité qui teste le SHA1 du mot de passe, alors que le mot est en clair dans les commentaires du source PHP. #JSSI15 Le logiciel en question avait été labelisé en France... #JSSI15

    * Deux portails Wifi qui font chroot()... après avoir lancé un démon chroot_hole pour contourner le chroot. #JSSI15

    * Un firewall sur Windows qui ne bloque qu'IPv4 (alors que la machine a IPv6). #JSSI15

    * Un logiciel SIP qui permet de passer root en envoyant %n dans le User-Agent: #JSSI15

    * Un téléphone sécurisé où le mot de passe tapé est évalué avec exec(), sous root. #JSSI15

    * @newsoft qui nous refait une passe sur le portail wifi U**pia qualifié souverain à la #jssi15

    * Nicolas Ruff nous fait un festival de produits souverains , portail wifi, téléphone sécurisé, disque ... #JSSI15

Ho, très utile l'argument « -d » : display time described by STRING, not 'now'.

$ date ; date -d "1 month" ; date -d "-1 min"
Thu Mar 19 15:05:51 CET 2015
Sun Apr 19 16:05:51 CEST 2015
Thu Mar 19 15:04:51 CET 2015

Application : créer un fichier vieux d'une semaine : touch -d "`date -d "-1 week"`" test

« Dans un article publié mercredi soir, Le Monde (qui lui-même constate que le site "ne fait effectivement aucune apologie ouverte du terrorisme") révèle que les services de l'Etat ont exigé des FAI qu'ils bloquent l'accès à l'ensemble du média couvrant l'actualité du monde islamique parce qu'il "reproduit – sans le mettre en perspective – un discours d'Al-Baghdadi dans lequel le leader de l'EI invite à « déclencher les volcans du djihad partout », et héberge le fichier audio de ce discours in extenso".

L'article du 13 novembre 2014 encore visible en cache Google faisait effectivement une explication de texte du discours audio de 17 minutes d'Abu Bakr al-Baghdâdi, pour en analyser dans un premier temps les motivations politiques et le contexte militaire, avant d'en citer des extraits sans livrer de commentaire particulier. A aucun moment il n'en fait l'apologie. "Ce message audio se caractérise par la virulence des attaques contre la coalition arabo-occidentale", et "ne laisse aucun doute sur les futures intentions de l’organisation", écrivait simplement l'auteur d'Islamic-News.

De son côté, Arrêt sur Images constate également que "le rédacteur ne commente ni favorablement, ni défavorablement les déclarations d'Al-Baghdadi".

[...]

 "Beauvau rappelle toutefois que le responsable d'Islamic-news.info dispose d'un droit de recours, une possibilité qu'aucun des cinq sites bloqués vendredi n'a encore fait valoir jusqu'ici. Les quatre autres sites hébergeant des contenus à la teneur djihadiste bien plus évidente, il serait bien improbable qu'ils en usent", ajoute le quotidien.

Un média ainsi censuré a donc le droit de contester sa censure, et il faudrait s'en contenter aux yeux du ministère de l'intérieur. Mais comme l'écrit le créateur d'Islamic-News, "le mal est déjà fait". "L’étiquette du « terrorisme » a été déposée et personne ne pourra l’enlever même pas la décision d’un juge. La page Facebook a été supprimée sans aucune raison. Mon compte Facebook personnel est vide, je n’ai jamais rien publié et pourtant il a été supprimé."

Une certaine idée de l'état de droit. Qui n'est pas la nôtre. »

Non mais c'est quoi ce délire ! O_O C'est l'hébergement d'un fichier audio qui a posé problème ? Vraiment ? Pourquoi ne pas avoir utilisé la LCEN pour le faire retirer par éditeur/hébergeur, alors ?! Aucune demande n'est parvenue jusqu'à l'hébergeur : https://twitter.com/olesovhcom/status/577401572235296768 . Pourtant, la censure administrative de la loi n°2014-1353 du 13 novembre 2014 prévoit un principe de subsidiarité qui veut que la police s’adresse d’abord à l’hébergeur pour faire supprimer le contenu et que passé un délai de 24h, sans réponse ou sans effet, elle peut ordonner aux FAI de procéder à la censure.

« Cette installation de Confluence ne dispose pas d’une licence pour des utilisateurs supplémentaires.
Vous avez dépassé le nombre maximal d’utilisateurs pour cette licence. Vous aurez accès au contenu mais, afin de créer ou modifier le contenu, vous devez réduire le nombre d’utilisateurs actifs dans l’installation.

Il y a deux moyens de réduire le nombre d’utilisateurs actifs :

    Désactiver des utilisateurs
    supprimer des utilisateurs

Pour désactiver ou supprimer un utilisateur, allez sur la page Utilisateurs et cherchez son nom. Cliquez sur le lien approprié et sélectionnez l'option Supprimer ou Désactiver. »

« Avast ferait-il du MITM (pour Man In The Middle, une forme d’attaque informatique) depuis quelques temps ?

Car oui, depuis quelques jours, consciencieuse comme je suis, j’avais mis à jour ma version d’Avast. Bien sûr comme à chaque fois, pas de patch-notes complètes, à part un rapide coup d’oeil sur les dernières features (et encore, seulement pour faire de la pub pour la version payante).

Ainsi donc, après ma découverte sur linuxfr.org, je décide de vérifier les autre sites. Résultat ?

Et oui, on ne le dira jamais assez : le cadenas ne suffit pas ! Vérifier le certif aussi est important. preuve en est : depuis 2-3 jours avec Avast 2015, je ne remonte le souci qu’après avoir dû vérif un certif, autrement… ceci me serait passé totalement inaperçu.

Avast pratique donc du déchiffrement SSL sur tout le trafic https de votre machine, ce qui est une faille importante de sécurité à mes yeux (et surtout de confiance).

Un MITM (Man in the Middle) consiste à s’introduire sur le réseau, de manière dérobée, entre 2 correspondants (basiquement Alice et Bob pour les connaisseurs). L’attaquant se fera donc passer pour Alice auprès de Bob et inversement, il se fera passer pour Bob auprès d’Alice :

Dans le cas d’un déchiffrement SSL sur votre machine, cela permet à Avast de :

- intercepter toutes vos données (voire plus) transitant par votre navigateur depuis les sites web (comment vérifier si il ne le fera pas ? Impossible de savoir…)

- avoir vos infos en clair à un moment ou à un autre (données sensibles s’abstenir)

- Rendre inutile l’utilisation du cadenas : comment savoir que je parle bien à ma banque par exemple ? Avast m’empêche d’avoir accès au certif original et donc de vérifier l’info.

- Introduire en local une faille critique : un spyware présent sur votre machine ou votre réseau local pourrait très bien avoir accès à ces flux déchiffrés, et donc être au même niveau qu’Avast en ce qui concerne les droits sur vos données persos car, rappelons-le, un AV du calibre d’Avast a un accès limite root sur votre machine.

Notez d’ailleurs qu’Avast fait de même pour les mails : cette « feature » est également active par défaut pour les mails qui transitent via SMTP avec SSL.

[...]

Heureusement il existe une solution rapide à cela. Avast vous permet d’enlever d’un click ces 2 protections, dans les paramètres de votre antivirus (section Agent Web et Agent Mail) »

Via http://seenthis.net/messages/351006