devloop :: blog

L'information dont j'ai eu vent par la mailing-liste des Big Brother Awards fait froid dans le dos. Et pour être en conformité avec la volonté du gouvernement, je tiens à informer par avance mon auditoire que l'information en question peut choquer la sensibilité de toute personne ayant encore foi en la liberté d'expression.

L'information en question, reprise notamment par La Quadrature Du Net et révélée à l'origine par le site d'information PC Inpact est l'existence d'un projet de charte baptisée "confiance en ligne" que le gouvernement essaye de faire signer par les "intermédiaires techniques" d'ici le 10 juin de cette année 2008 (très bientôt donc).

Les intermédiaires techniques en question sont toujours les même, à savoir principalement les fournisseurs d'accès Internet, les services en ligne, les plate-formes communautaires, les sites d'échanges en tout genre mais aussi les forums, blogs et pour être bref tout site où il est possible de laisser un "contenu", une information en ligne.

La charte qui tient sur 4 pages et que l'on peut lire sur l'article de PC inpact ne propose pas que des mauvaises choses. Ainsi elle propose de la prévention par la mise en place de pages d'informations destinées à prévenir des dangers des malwares, des spams et des méthodes de cyber-escroquerie ainsi que les moyens de s'en protéger.

Ce qui est plus génant dans cette charte, c'est en fait les 80% restant
La charte propose par exemple que les FAI surveillent en continu le traffic réseau dans une "démarche proactive de sécurisation" et prennent des mesurent en conséquence comme la suspension, la résiliation d'une ligne ou encore le blocage de certains ports. C'est certain que les FAI réagissent déjà de façon intelligente et proportionné face aux menaces existantes. Ce que l'on peut craindre c'est l'utilisation de méthodes plus radicales et s'appliquant massivement à l'ensemble des utilisateurs (et tout le monde n'a pas envie de voir son traffic SMTP bloqué sous prétexte qu'un ver spammeur fait des ravages).
En extrapolant on peut craindre que les ports utilisés par les logiciels de partage de fichier voire de messagerie instantanée soit bloqués car ils offrent un support de choix pour les malwares.
C'est certe une vision un peu paranoïaque mais si le gouvernement ne cherchait pas à mettre son nez dans le traffic des FAI, le paragraphe en question n'aurait pas lieu d'être et il laisserait les FAI prendre eux même les mesures qu'ils jugent bonnes.
Le même paragraphe prévoit la mise en place de mécanismes de sécurité présent directement sur les "box" des internautes.

Du point de vue des FAI cela peut poser un problème car avec cette charte, la sécurité n'est plus un service rendu (comprendre un argument de vente...) mais bien une obligation. Que se passera t-il si des internautes se mettent à poursuivre en justice leur FAI parce qu'ils ont attrapé un virus, prétextant que le FAI n'a pas mis de mesures efficaces pour les protéger ?

Le texte revient ensuite (deuxième page) sur la necessité d'informer les internautes, cette fois çi non pas sur les dangers auxquels ils s'exposent mais sur "les comportements et contenus autorisés" tout en rappelant "les responsabilités de chacun".
Je ne sais pas où les intermédiaires techniques sont censés placer ces messages d'avertissement, mais si à chaque fois que l'on poste un contenu en ligne on doit le faire sous l'oeil bien visible de Big Brother alors c'est que je j'appelle la politique de la terreur.
Dans la même section on a un chapitre plus que louche sur "la possibilité de prévoir contractuellement une modalité de suspension de la possibilité de publier (...) en l’absence de toute mise à jour (...) un contenu depuis trois mois". Ca laisse songeur

Fin de la deuxième page, vient une section sur la protection de mineurs qui semble difficilement réalisable. Comment mettre en place des "dispositifs efficaces" pour empécher les mineurs d'accèder à certains contenus quand les intéressés n'hésitent pas à mentir sur leurs ages pour accèder volontairement aux contenus en questions ? On est tous passés par là

Ca se complique à la troisième page. La charte prévoit la mise en place de dispositifs de "signalements" pour les internautes qui pourront avertir des contenus et (une fois encore) des "comportements" posant un "risque pour la sécurité".
Qui va décider quels sont les "comportements autorisés" et lesquels ne le sont pas et sur quels critères ? Il est bien noté dans la dernière page que les signataires s'engagent à "retirer ou à suspendre promptement les contenus (...) sur demande jucidaire".
Il est déjà arrivé que des articles de presse soit jugés comme posant un "risque pour la sécurité", ce n'est pas pour autant que l'on brulait toutes les publications existantes, même si notre président est loin d'être un exemple en la matière.

Enfin la charte demande que les signataires nomment un "responsable du traitemant des réponses aux réquisitions judicaires", voire même un "service d'oglibations légales", sorte de mini-police payée par votre fournisseur d'accès Internet pour répondre "dans les plus bref délais" à la vrai police

Quand aux durées de conservation des différentes données conservées, elles restent les même que ce que l'on savait déjà.

En bref, avec ce projet de charte, tout le monde serait un peu flic, les FAI comme les internautes. Les premiers filtrent, bloquent, suppriment les contenus, font peur aux Internautes qui eux peuvent s'adonner à la délation.

L'association Orléans Poker Club vise à promouvoir le poker dans la région orléanaise, organiser des tournois et surtout partager une passion commune.
Le président de l'association a bien voulu m'accorder une petite interview

Peut tu te présenter brièvement ?
Je suis originaire de la bourgogne. Je suis venu sur Orléans pour suivre des études d'informatique. Au bout de cinq ans avec un DUT et un Master en poche, j'ai trouvé un boulot d'ingénieur dans une SSII. Sinon, comme notre hôte, j'aime beaucoup la musique, essentiellement toutes les influences rock.

Depuis quand existe l'association Orleans Poker Club ?
L'OPC existe depuis le 18 décembre, date de la déclaration en préfecture.

Combien de personnes gèrent l'association ? Quels sont leur rôle ?
Actuellement le staff de l'association est composé de cinq personnes dont un président (moi-même), une vice-président, un trésorier et un secrétaire. Nous oeuvrons tous pour le développement du poker dans la région Orléanaise.

Quelles difficultées avez vous rencontré pour mettre en place l'association ?
Nous n'avons pas rencontré de difficulté particulière pour monter l'association mais d'avantage pour organiser le premier tournoi de l'association. La mairie ne nous à pas vraiment aidé notamment quand il a s'agit de trouver une salle.

L'association semble avoir remporté un vif succès, vous avez beaucoup d'adhérent ?
Actuellement l'association compte 135 pré-inscrit dont 87 qui ont adhérés. Cela dépasse en effet toutes nos espérances.

Vous avez organisé un tournoi de poker, combien de personnes étaient présentes ? Comment s'est déroulé le tournoi ?
Le premier tournoi de l'OPC a réuni 70 joueurs. Le tournoi s'est joué dans une ambiance conviviale et bon enfant. Cette première manifestation de l'OPC a été une réussite totale. Le prochain tournoi pourra accueillir 96 joueurs et aura lieu le 1er avril.

Que penses tu des jeux de poker en ligne ? Est-ce légal ?
Je ne suis pas un grand fan du poker en ligne. En effet jouer en ligne enlève l'aspect psychologique de ce jeu. Actuellement le poker en ligne n'est plus légal en France. En effet une base de 400 000 joueurs pourrait générer 1 milliard d'euros de bénéfice, si vous rajoutez à celà les milliards des paris sportifs et autre jeux de casino, on comprend mieux l'appétit de l'Etat français qui veut préserver les monopoles de la FdJ et du PMU. Je pense qu'il s'agit d'une restriction de nos libertés individuelles sur le net.

Quelque chose à rajouter pour terminer l'interview ?
Merci à toi, pour l'intérêt que tu portes à l'OPC.

Orléans Poker Club

Depuis hier (1er décembre 2006), un nouvel outil permettant de passer à travers les filtrages mis en place par les FAI ou les pays où la liberté d'expression est malmenée, vient de faire son apparition.
Développé par un groupe d'informaticiens, d'artistes et d'activistes nommé Citizen Lab et basé à l'Université de Toronto au Canada, Psiphon permet aux personnes ayant un accès restreint au web de profiter de l'ensemble de la toile d'araignée mondiale.

Techniquement Psiphon se résume à un proxy web auquel on se connecte par un accès sécurisé (SSL).
Côté serveur, la "Psiphonode" est un logiciel qui écoute sur le port 443 et permet un accès à tous ceux qui possèdent un login et un password valide.
Côté client, seul un navigateur web suffit (Opera, Firefox ou autre). Aucun logiciel spécifique n'est nécessaire.

Psiphon se base sur une relation de confiance. Par exemple si vous habitez en Chine, vous aurez beaucoup de mal à accèder directement à l'encyclopédie en ligne Wikipédia. Vous allez alors contacter votre ami vivant dans un pays démocratique et lui demander d'installer une Psiphonode et de vous transmettre les informations de connexion (son adresse IP et les identifiants de connexion)

Dans votre navigateur vous tappez alors l'adresse https://ip_de_votre_ami:443/login/ et vous saisissez le username et la password.
Vous êtres alors redirigé sur une page très proche des web proxy public que l'on peut trouver sur Internet : une barre vous permet d'entrer l'url du site que vous voulez visiter.
Vous trouverez des captures d'écran sur le blog Security and Privacy.

Avantages de Psiphon
Vous choisissez votre relai par conséquent vous savez qui peut potentiellement vous espionner. Quand vous utilisez un proxy public rien ne dis que ce dernier est sous le contrôle d'un gouvernement ou d'un pirate qui en veut à vos informations personnelles.
La Psiphonode est très simple à installer. Il faudra éventuellement modifier la configuration de votre firewall si vous en possédez un.
Un utilisateur "Psiphonite" n'a rien a installer.
La Psiphonode filtre la traffic web dans le sens où elle empèche le chargement de ressources pouvant causer des fuites d'informations et détecter votre réelle adresse IP (applets Java, animations Flashs, Javascript...)

Inconvénients de Psiphon
Ne gère que le traffic web (HTTP et HTTPS) contrairement à Tor qui peut faire circuler tout traffic passant par TCP.

Il faut avoir une personne de confiance faisant tourner une node dans un pays démocratique... Des utilisateurs n'hésitent pas à donner l'adresse de leur node de façon spontanée sur les forums, mais la relation de confiance en prend un coup et aussi la node risque de rester moins de temps accessible avant d'être elle aussi filtrée.

UNE SEULE NODE pour un chemin donné. Par conséquent les possesseurs de nodes savent que le traffic sortant a une certaine valeur et qu'installer un sniffeur leur révèlera tout le traffic.
Avec Tor une node peut être 'middleman' c'est à dire que le traffic sortant de la node est encrypté et destiné à une autre node, rendant la surveillance impossible. Quand aux nodes de sortie (toujours pour Tor), elles peuvent être utilisées comme middleman.

Une seule node cela veut dire aussi que le possesseur de la node sait qui vous êtes (votre ip) dans le cas d'une node "ouverte à tous".
Avec Tor, la node finale connaît l'identité de la node précédente... mais ne connaît pas votre réelle identité.

Une seule node ça veut aussi dire que dans certains cas votre gouvernement peut savoir quels sites vous visitez même si vous passez par une Psiphonode.
Si vous êtes A et que vous souhaitez aller sur le site Internet C, qui se trouve dans le même pays que vous, alors votre BigBrother nationnal vera qu'une connexion s'est établie de A vers B (la Psiphonode) et que presque au même moment une connexion s'est établie de B vers C... pas difficile de faire le rapprochement, peu importe l'emplacement de B.

Les cercles verts représentent les connexions détectées par le firewall de BigBrother Country.
Evidemment un tel problème ne se pose pas si B et C sont dans des pays non surveillés. Mais je suis surpris qu'un concept aussi évident n'ait pas été traité dans la FAQ de Psiphon.
Le sujet a été traité sur le forum et en théorie on peut chainer les Psiphonodes. Reste à voir ce que cela donne dans la pratique...

A l'heure actuelle seule une version Windows est disponible. Les sources devraient être disponibles sous peu et la version Linux, on l'espère, dans moins d'un an (arghhh).

Bien que Tor me semble être une solution bien plus évoluée et avec une expérience bien plus importante (Psiphon risque d'avoir son lot de vulnérabilités auxquelles Tor a déjà fait face), Psiphon offre un principe assez intéressant basé sur la confiance. Principe déjà utilisé par certains logiciels Peer to Peer.

01net : La Justice va automatiser les écoutes téléphoniques
Le ministère de la justice vient d'annoncer qu'il désirait mettre en place "une plate-forme qui permettra l'écoute de la voix, l'identification des numéros appelants, la géolocalisation des téléphones mobiles, la réception des informations détenues par les opérateurs et leur renvoi aux services enquêteurs" pour début 2008.
L'objectif de cette plateforme est de réduire les coups nécessaires à la mise en place des écoutes en automatisant une partie des interceptions.

Le peu d'informations disponibles ne nous dis pas si cette plate-forme sera utilisée pour effectuer une surveillance continue des communications comme le fait Echelon/Trailblazer aux Etats-Unis.
Le principe d'un Frenchelon n'est pas nouveau, le sujet a déjà été traité à plusieurs reprises mais son existence n'a jamais été reconnue.
Il faut dire aussi que les lois françaises sur la surveillance des communications sont beaucoup plus strictes qu'outre-atlantique (surtout post-patriot-act)

Les lois sur la cybercriminalités évoluent vite et de nombreux pays se rassemblent pour lutter contre cette criminalité. Ces coopérations internationales suscitent de nombreuses intérrogations (quelle législation sera adoptée quand un crime touche une victime dans un pays A, que l'attaquant vit en B et que les lois de A et B sont bien différentes) et fait craindre de nombreuses dérives (extraditions plus faciles ?, surveillances de personnes hors du territoire...)

Il existe des outils légitimes visant à préserver la vie privée des internautes, mais les gouvernements n'hésitent à leur rentrer dans le lard. Ce n'est sûrrement pas un jam echelon day qui nous sauvera mais ça peut toujours servir.

Pour revenir sur Tor, il semblerait que différents gouvernements soient propriétaires de nodes de ce réseau. Par exemple une node de sortie en Chine a été découverte qui produisait de faux certificats SSL pour pouvoir déchiffrer les communications privées.

Côté français de viens de découvrir une node pour le moins étrange par le biais d'un message sur le site du projet Vidalia (une GUI pour Tor).
En effet cette même node de sortie fait tourner un site Internet sur lequel on peut lire "Computer crimes investigations". Avouez qu'il y a de quoi se poser des questions...

Le gouvernement français a enfin décidé de s'attaquer activement au problème du spam en créant une association baptisée Signal Spam.

Cette association a pour but de rassembler les principaux concernés par la lutte anti-spam.

On y retrouve par exemple la CNIL (Commission Nationale Informatique et Libertés), l'AFA (Association des Fournisseurs d'Accès) et le Forum des droits sur l'Internet pour défendre les particuliers et leur vie privée.

Les entreprises sont aussi représentées notamment par le CIGREF, la FEVAD (Fédération des Entreprises de Vente A Distance), le ministère de l'industrie, la Banque de France ou encore le groupe La Poste.

Des interlocuteurs techniques font partie de l'opération : Microsoft, le CERTA (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques) ainsi que l'APRIL (une association de défense du logiciel libre).

La machine judiciaire participant à ce projet est pour le moins impréssionante : la gendarmerie nationale, le ministère de la justice, le ministère des finances ainsi que l'OCLCTIC.

L'internaute lamba peut lui aussi participer à cette opération. Par le biais du site Internet de l'association il peut envoyer des messages et donner son avis sur les sujets qui seront traités sur le blog de Signal-Spam.
A partir du dernier trimestre de cette année, les internautes pourront signaler les spams qu'ils reçoivent en les renvoyant à Signal-Spam.

Sur le "papier" ça a de quoi faire trembler les spammeurs J'espère qu'on aura bientôt les premiers résultats de cette opération et que le blog nous tiendra informé régulièrement.

Le site de l'association Signal Spam
La nouvelle sur ZDNet