Alors que les décrets d’application doivent apparaître dans les semaines à venir pour que les premiers emails d’avertissement de l’Hadopi partent juste après la fête de la musique (sic), il est toujours agréable de voir que cette loi appelle toujours un bordel sans nom.

Hadopi perd pied

Entre autres, nous avons le script SeedFuck qui se prépare à inonder les réseaux de fausses adresses IP (histoire de démontrer que l’adresse IP ne constitue pas en soi une preuvre parfaite). Ensuite, le gouvernement nous annonce que les premiers emails d’avertissement seront envoyés alors même qu’aucun outil de sécurisation ne sera proposé au titulaire de la ligne alors

que la Loi Hadopi crée justement le délit de non-sécurisation de sa connexion Internet. Enfin, FDN, fournisseur d’accès Internet associatif, via La Quadrature du Net, a déposé un recours devant le Conseil d’Etat pour vice de forme :

« Ce décret est entaché d’un vice de forme puisque le Gouvernement a omis de consulter l’ARCEP, et ce alors que la loi le lui impose conformément à l’article L.36-5 du Code des postes et communications électroniques » (Benjamin Bayart, FDN)

Débat Riester VS Zimmermann

Hadopi semble donc bien mal en point, la Quadrature du Net en profite donc l’achever. Jérémie Zimmermann, porte-parole de la Quadrature du Net, était l’invité de l’émission Revu & Corrigé sur France 5 pour débattre sur le sujet « Hadopi, un an après » avec le rapporteur du texte, Franck Riester.

Je vous laisse apprécier les échanges. On voit nettement que Jérémie Zimmermann a pris de l’assurance lors des débats publics, qu’il a préparé son intervention pour court-circuiter son adversaire. Belle preuve de maturité qui assoit d’autant plus sa crédibilité.

Le Deep Packet Inspection (DPI)

Toutefois, tout n’est pas si rose car l’ombre d’ACTA plane sur nous. En effet, le gouvernement a missionné Michel Riguidel pour mettre en place une solution de filtrage généralisée qui sera ensuite donnée à consultation d’un des « labs » d’Hadopi (cela fait parti des expérimentations que prévoit la Loi Création et Internet). L’idée serait ici de « griffer » tous les paquets « légaux » et d’employer la technique du DPI pour ceux qui ne le sont pas. Le Deep Packet Inspection n’est qu’un outil, utilisé principalement à des fins de monitoring réseau, mais aussi à des fins de filtrage par la Chine par exemple. Evidemment, cela va à l’encontre de la Neutralité du Net, mais cela tombe bien, Riguidel y est opposé. Le principe du brevet Riguidel, Ladouari et Laurier est donc de griffer (de marquer, de labelliser) le trafic réseau pour mieux l’identifier et le filtrer. Hadopi recevra le résultat de l’étude Riguidel en septembre pour la soumettre à ses labs et ensuite, et qui sait, l’imposer ensuite aux FAI.

Je vous laisse en compagnie de Michel Riguidel pour vous donner une idée de ce qui peut nous attendre…

Ne baissons pas les bras !

Poursuivre votre lecture sur le site

• Campagne Anti-Hadopi : BIG BROTHER (1984)
• Pourquoi soutenir la Quadrature du Net ?
• Highway Star by Deep Purple
• Hadopi censurée par le Conseil Constitutionnel : la sanction disparaît
• Filtrage de la pédophilie (ou comment l’Etat veut contrôler et censurer Internet)

Lire l’article sur : Batou.fr…
article publié par Batou  sous licence Art Libre

Partager cette information :

Il ne sera plus possible de se faire pirater sa connexion sécurisée en ligne. Telle est la promesse de la nouvelle version du protocole SSL, tout juste proposée par l’IETF (Internet Engineering Task Force) et rapidement ratifiée. Désormais, aucun pirate ne devrait pouvoir s’interposer entre un utilisateur et son réseau d’entreprise, le site sécurisé de sa banque ou encore l’interface d’administration d’un centre de données. Rappelons que dans de tels scénarios, les objectifs des pirates sont multiples : soit voler les clés, les codes des cartes bancaires ou encore le mot de passe de l’utilisateur, soit le rediriger vers un autre serveur sans qu’il s’en aperçoive.

Une faille subtile

La norme SSL sert déjà à chiffrer les communications entre un client et un serveur pour éviter qu’elles soient sur écoute. Mais son évolution a été motivée par une faille découverte en novembre dernier.

A l’époque, des chercheurs s’aperçoivent que le serveur ne vérifie pas qu’il converse toujours avec le même client à la suite d’une micro-interruption. Et pourtant, un pirate pourrait d’abord établir une communication sécurisée vers le serveur avec sa propre clé, puis se servir d’une micro-interruption pour s’intercaler entre le client d’un utilisateur et le serveur.

Cette attaque est assez subtile, car la communication entre le serveur et le client s’effectue à pleine vitesse, sans que personne ne remarque que le flux d’informations est détourné. Et il l’est, puisque toutes les informations transitent dès lors par la machine du pirate. Celui-ci étant à l’initiative de la création de la clé, il lui est ensuite simple de décoder les informations qu’il détourne.

Suite à la découverte de cette faille, un étudiant turc l’exploitait pour détourner des comptes Twitter. Dès lors, de nombreux sites ont interdit la procédure de renégociation, laquelle sert à reconnecter un client après une micro-interruption.

La correction sera longue

Dans sa nouvelle version, SSL signe cette renégociation. Autrement dit, le serveur identifie avec certitude le client avec lequel il dialogue. Cela signifie que, pour continuer à détourner les données, le pirate devrait injecter en temps réel sa signature à la place de celle du client dans un flot d’informations chiffrées, une opération jusque-là impossible à réaliser.

Reste qu’il faudra un certain temps avant que le correctif soit pris en compte sur les serveurs et les clients qui utilisent SSL. Selon les chercheurs qui avaient détecté la faille, cela pourrait prendre des mois. Ils maintiennent une page qui suit l’avancement du correctif dans les principaux produits de connexion SSL, dont Firefox, Internet Explorer, IIS, ou encore OpenSSL.

Lire l’article sur : 01net Pro…

Merci à Benoit Minvielle, Hirschmann pour le lien vers cette information.

Partager cette information :

Le président de l’Icann dramatise la situation autour de l’insécurité des DNS. Chris Disspain, président du conseil du ccNSO réfute cette description et défend l’énorme travail réalisé pour protéger les DNS. Il ne veut pas que l’on inquiète inutilement les gouvernements sur ce sujet.

Lors d’un discours, tenu mardi 9 mars à Nairobi (plus grande ville du Kenya) pendant la session du comité consultatif de l’Icann, le président de l’Icann, Rod Beckstrom a déclaré qu’il était nécessaire de concentrer les efforts pour protéger le service de nom de domaine DNS (Domain Name Service), car le système est soumis à des attaques, le rendant fragile et vulnérable, et pourrait « être mis hors de service à tout moment ».
Lors de cette séance, le dirigeant a souligné auprès des membres que plusieurs abus avaient été commis contre le DNS par certains pays, dont le nom n’a pas été dévoilé. Il a promis d’écrire aux membres du Comité consultatif pour s’enquérir de l’état du DNS chez eux.
« Le système de nom de domaine, est, comme jamais auparavant, sous le feu d’attaques préoccupantes. J’ai personnellement consulté au niveau international

plus de 20 responsables des registries et des registrars de premier niveau. Tous s’accordent à dire que les attaques contre les DNS ne cessent d’augmenter, de même que leur complexité. Ils sont extrêmement préoccupés par cette situation » a expliqué le président.
Chris Disspain, président du conseil du ccNSO, a contesté cette déclaration, la qualifiant d’« incendiaire.»

Lire l’article complet sur : Reseaux et Telecoms…

Partager cette information :

Selon une étude réalisée par l’université de Rennes 1, la récente loi Hadopi contre le téléchargement illégal n’aurait pas d’effet sur cette pratique.
A l’inverse, le piratage aurait augmenté depuis la promulgation du texte. En cause, les nouvelles pratiques de piratage qui échappent à la loi, comme le streaming, qui permet de consulter du contenu audio ou vidéo sans avoir à le télécharger sur son ordinateur.
Conduite auprès de 2000 personnes dans la région Bretagne entre novembre et décembre 2009 (soit environ trois mois après la promulgation de la loi), cette étude révèle que le nombre de pirates sur Internet en France a augmenté de 3% sur cette période, alors que la plupart des internautes interrogés avaient connaissance de l’existence de cette loi et de ces principales dispositions.
Les réseaux peer-to-peer, cible principale de la loi Hadopi, ont vu leur fréquentation baisser : 15% des utilisateurs de ces réseaux ont définitivement cessé de le faire avec l’adoption de la loi. En revanche, seulement un tiers de ces ex-pirates ont renoncé à toute forme de piratage sur Internet. Les deux tiers restants se sont tournés vers des systèmes de téléchargement alternatifs qui échappent au périmètre de cette loi, comme le streaming illégal ou le

téléchargement sur des sites d’hébergements de fichiers (Rapidshare, Megaupload, etc.).
"La réduction du nombre d’internautes qui utilisent les réseaux peer-to-peer s’est donc accompagnée d’une hausse des autres formes de piratage non prises en compte par la loi Hadopi (+27%). Cet accroissement fait plus que compenser la diminution du nombre d’utilisateurs des réseaux Peer-to-Peer" explique l’étude.
L’enquête révèle par ailleurs que les "pirates numériques" ne sont pas forcément de mauvais acheteurs de contenus légaux en ligne. La moitié d’entre eux (dont 27% sont des utilisateurs des réseaux peer-to-peer) sont en effet des "acheteurs numériques" de musique ou de vidéo sur les plateformes légales.
Dès lors, les chercheurs de Rennes 1 constatent que la loi Hadopi, en coupant la connexion Internet des pirates peer-to-peer, pourrait réduire les ventes légales de contenus culturels numériques.
Adoptée en septembre dernier par les parlementaires, la loi Hadopi a instauré une autorité indépendante (l’Hadopi) chargée d’envoyer des messages d’avertissement aux internautes identifiés comme ayant téléchargé de manière illégale des contenus en ligne. La démarche retenue est celle de la "riposte graduée" ; avertissement par e-mail, puis lettre recommandée en cas de récidive, et, en cas de troisième infraction, suspension de l’abonnement Internet pour une durée maximale d’un an. Le contrevenant risque également une amende (de 1.500 à 300.000 euros), voire une peine pouvant aller jusqu’à trois ans de prison.
Les premiers messages d’alertes ne seront toutefois pas envoyés aux pirates avant le printemps 2010, au plus tôt.

Lire l’article sur : Réseaux et Télécoms…

Partager cette information :

En tout cas, si vous souhaitez commander en ligne sur Internet depuis un HOTSPOT libre, une connexion non sécurisée ou tout simplement pour anonymiser votre connexion (de façon à ne pas remonter jusque votre connexion – et je ne veux pas savoir pourquoi…) ou si vous chercher une solution à l’espionnage instaurée par la loi Hadopi, ce site web vous intéressera.

IPjetable.net vous permet de tester leur service pendant 2 jours (attention, il y a un temps d’attente parfois long pour avoir les codes d’accès) et d’établir un VPN depuis n’importe quelle connexion existante. Ce site vous protège en chiffrant les communications traversant tout réseau WiFi (ou autre) non sécurisé et ne pratique pas de filtrage sur les données qui transitent par le VPN. Une adresse IP publique vous est attribuée et toutes les applications sont utilisables (web, tchat, p2p, ftp, ssh…).

La technologie de chiffrement utilise un algorithme symétrique 128 bits. Le niveau de sécurité est donc largement suffisant pour lire vos mails en ligne ou effectuer des achats sur Internet.

Le site fournit un guide très simple pour les OS sous XP, Vista, Seven, OS X 10.6 et Ubuntu 9.04.

Avant la mise en place du VPN, sur ma connexion, via le test de débit de degrouptest.com j’obtiens un débit descendant de 2700Kbps – 540 Kbps en montant et un ping en 70ms.

Après mise en place du VPN (très rapide sous Seven), le débit descendant est de 2590 Kbps, 525 Kbps en montant et un ping en 105ms. Très honorable. Reste à voir si les performances seront stables dans le temps.

Avec FindMyIPAddress, sans le VPN, je suis localisé à 5 km de chez moi – après connexion au VPN, je suis localisé à Toulouse avec comme fournisseur : Ajova Network. Point négatif pour certaines utilisations car la DST et aux services de l’état pourront probablement ordonner la mise en correspondance entre l’adresse IP  fournie via le VPN et mon adresse IP réelle.

IPjetable propose un abonnement de 15€ pour 3 mois de services. Un petit prix pour de grand service surtout si vous êtes souvent sur des réseaux non sécurisés !

En savoir plus : IPjetable.net…

Partager cette information :

Une étude réalisée par le fournisseur de sécurité Symantec permet d’identifier les villes ciblées par la cybercriminalité. L’étude a été réalisée aux Etats Unis mais trouve toute son application dans l’Hexagone.

S’appuyant sur des critères qui tiennent compte du nombre d’ordinateurs par habitant et de la taille de la population, une étude menée par Symantec et le cabinet d’études Sperling’s BestPlaces a dressé le Top 10 des villes les plus visées par la cybercriminalité.
Globalement, « les facteurs qui font qu’une ville est fière de son administration et de son mode de vie sont les mêmes qui en font une ville à risque en matière de cybercriminalité», déclare Marian Merritt, conseiller à la sécurité Internet chez Norton (filiale de Symantec). Les villes les plus risquées sont celles où les habitants possèdent de nombreux ordinateurs individuels, où la population affiche un de niveau de vie élevé, et dans laquelle un grand nombre de personnes font des achats en ligne, consultent les services bancaires via Internet, consomment de la bande passante et disposent de nombreux hot spots Wifi. Ce mode de vie s’accorde typiquement avec des niveaux élevés d’infection par les logiciels malveillants, le phishing et autres types de cyber-attaque.
…
Quelques risques qui ont valu aux villes de figurer au Top 10
- Atlanta et Miami reçoivent plus de spams que Boston.

- À Washington (la ville), 22% des habitants utilisent Internet au moins cinq fois par jour, soit  39,1% de plus que la moyenne.
- À Raleigh, 22% des résidents paient leurs factures en ligne et près de 30% font des achats sur des sites comme Amazon et eBay, soit respectivement 34,5% et 16,8% de plus que la moyenne nationale
- Atlanta comptabilise le plus grand nombre de cyber-attaques et d’infections par habitant aux États-Unis
- Minneapolis dispose de 43,5 hot spots Wi-Fi pour 100.000 habitants, soit 39% de plus que la moyenne des 50 villes de cette étude.
- Seattle a obtenu les scores de risques les plus élevés dans toutes les catégories prises en compte par l’enquête.

Lire l’article complet sur : Réseaux et Telecoms…

Partager cette information :

Le nombre de victimes de fraudes à l’identité a augmenté de 12% aux USA au cours de l’année 2009 selon le cabinet d’études Javelin. Onze millions d’américains seraient concernés.
Le cabinet d’études américain Javelin chiffre à 54 milliards de dollars le coût total de la fraude à l’identité aux États-Unis en 2009. En tête, les fraudes à la carte de paiement qui coûteraient aux banques environ 4 500 $ par cas, certains atteignant même 50 000 $ ou plus.
« Le plus souvent (un tiers des cas), c’est un proche de la victime qui se sert de son identité pour ouvrir un compte à son nom » explique le président et fondateur de Javelin, James Van Dyke. Effacer ces usurpations d’identité prendrait au moins 21 heures de démarches (contre 30 heures l’an dernier).
Ces victimes, pourtant majoritairement assurées contre les fraudes à la carte, dépenseraient jusqu’à 373 $ pour résoudre leurs problèmes. « Un montant beaucoup plus bas qu’il y a sept ans » affirme le cabinet Javelin qui a lancé cette étude annuelle en 2003. Seulement la moitié des victimes poursuivrait les fraudeurs en justice.
Selon James Van Dyke , « usurper l’identité d’autrui est beaucoup plus simple que cela ne devrait l’être » , les contrôles des banques sont insuffisants. « Aujourd’hui, les fraudes à l’identité se font aussi bien par de vieilles méthodes, comme le vol de documents et de relevés bancaires, que par des méthodes plus avancées comme le piratage de comptes sur Internet ».
Le président de Javelin ne préfère pas désigner l’un de ces modes comme plus important qu’un autre, il invite simplement les consommateurs renforcer leurs défenses sur tous les plans.

Enfin, il resterait préférable d’éviter de se connecter depuis les zones de Wifi public même sur des sites sécurisés. James Van Dyke a également appelé à se méfier des imitations de documents de banques, d’agences gouvernementales et d’oeuvres de charité, y compris dans par email. Il faudrait enfin éviter de publier des données personnelles sur les réseaux sociaux, notamment tout ce qui concerne les informations nécessaires pour obtenir des mots de passes privés, comme le nom de jeunes filles de sa mère et le prénom de son animal de compagnie.
L’étude Javelin parle aussi des comptes de téléphones portables qui, pour 29% d’entre eux, seraient ouverts sous un faux nom emprunté à quelqu’un d’autre. Les jeunes adultes âgés de 18 à 24 ans seraient d’ailleurs deux fois plus lents que des personnes plus âgées pour détecter ces fraudes. James Van Dyke affirme que ces jeunes adultes devraient veiller à mieux regarder leurs relevés de comptes.
L’étude a été conduite par téléphone auprès de 5000 adultes à qui ont été posées 50 questions concernant les éventuelles fraudes à l’identité dont ils ont été la cible en 2009. Ces résultat ont ensuite été extrapolés à toute la population américaine, ce qui implique que 4,8% des adultes américains se sont vus volé leur identité en 2009. Quid en France ?

Lire l’article sur : Réseaux-telecoms.net …

Partager cette information :

Deuxième mauvaise nouvelle dans le monde de la sécurité, la clé RSA de 768 bits à été craqué. Il a fallu quand même 1 à 1700 cœurs sur 425 machines et  12 mathématiciens / chercheurs pour casser cette clé de 232 caractères. Casser le chiffrement RSA 1024 bit devrait prendre de 3 à 4 ans. Une clé de 2048 bits est donc maintenant recommandée pour garantir l’inviolabilité de ‘l’information (mais pour combien de temps ?)
Lire cet article à ce propos sur 01netPro…

Partager cette information :

Alors que la loi Hadopi impose l’obligation de sécuriser sa connexion Wi-Fi, un groupe de travail emmené par le professeur Johannes Skaar a démontré que même le cryptage quantique n’était pas parfait. Si la technique reste inviolable, en revanche le matériel ne l’est pas.

Graal de la sécurité informatique, la cryptographie quantique repose sur la mise en œuvre de la mécanique quantique afin de préserver la confidentialité et l’intégrité des données. Réputé inviolable, ce protocole technique a des retombées potentiellement énormes, notamment dans les domaines militaire et commercial. En effet, les différentes armées occidentales tiennent à sécuriser leur transmissions tandis que banques et sites commerciaux veulent assurer à leurs clients une protection complète.

Or, le groupe de travail de l’université norvégienne de sciences et de technologie dirigé par le professeur Johannes Skaar ont trouvé une méthode pour contourner le cryptage quantique. Car si la technique en elle-même est théoriquement inviolable, le matériel lui ne l’est pas. Et ce sont justement ces failles qui sont exploitées par les scientifiques.

Dans sa présentation, l’équipe explique s’appuyer sur une technique d’aveuglement des détecteurs de photons permettant d’obtenir la clé secrète sans jamais se faire détecter. Selon eux, cette procédure n’est absolument pas théorique puisqu’ils ont conçu un dispositif d’écoute et attaqué avec succès leur propre matériel de cryptage quantique.

Et pendant ce temps là, la loi Hadopi impose une obligation de sécuriser son accès à Internet…

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Lire l’article sur : NUMERAMA.com…

Partager cette information :

C’est parti ! L’Icann, l’organisme qui gère les noms de domaine, et l’opérateur VeriSign ont décidé de mettre les bouchées doubles dans l’implémentation du protocole DNSSEC (DNS Security Extensions) avec, à la clé, une feuille de route précise pour le déploiement sur les serveurs racine. Ensuite, Verisign implémentera ce protocole sur les domaines .com et .net, dont il est responsable.

DNSSEC est un protocole qui, grâce à un système de signature électronique, permet de vérifier l’authenticité de la réponse d’un serveur DNS. Son fonctionnement est hiérarchique. Chaque serveur d’une zone DNS (.fr, .com, inria.fr, etc.) disposera d’une paire de clés de signature à chiffrement asymétrique, appelée Zone Signing Keys (ZSK). L’une des clés est publique, l’autre privée. Cette dernière sert à signer les données DNS que délivre le serveur de zone. Un client DNS qui reçoit une réponse signée d’un de ces serveurs pourra déchiffrer la signature au moyen de la clé publique et vérifier, ainsi, la provenance et l’intégrité des données.

Pour autant, ce système de clés ne permet pas de savoir à 100 % si le serveur lui-même est réellement digne de confiance : un usurpateur pourrait se substituer à lui et diffuser ses propres ZSK. C’est pourquoi les serveurs de zone disposent d’une deuxième paire de clés asymétriques. Appelées Key Signing Keys (KSK), elles servent à signer les ZKS des zones inférieures (01net.com, afnic.fr, etc.), créant ainsi une chaîne de confiance sur l’ensemble des URL. Un navigateur n’obtiendra la confiance d’une zone de niveau n (01net.com), que s’il a obtenu la confiance des zones de niveau supérieur (.com).

Une paire de clés maître pour sécuriser tout l’Internet

La mise en œuvre de DNSSEC est discutée depuis longtemps, mais elle n’est envisagée sérieusement que depuis la découverte d’une grave faille dans le DNS en 2008 qui, justement, faisait apparaître la possibilité d’usurper un serveur DNS et de dévier un trafic Web vers des sites pirates. La grande difficulté dans l’implémentation de DNSSEC est la gestion hiérarchique des clés. Or, l’Icann et VeriSign sont maintenant tombés d’accord sur la manière d’introduire ce protocole au niveau des serveurs racine, afin de créer la base de cette chaîne de confiance.

Ainsi, les ZSK des serveurs racine seront générées et détenues par VeriSign, qui les renouvellera tous les trois mois. Ces ZSK seront signés par une paire de clés maître KSK, qui sera générée et détenue par l’Icann. Toute la sécurité de DNSSEC s’appuiera in fine sur cette fameuse paire de clés KSK, sur laquelle l’organisme veillera comme sur un véritable trésor. Sauvegardée et dupliquée sur deux sites physiques distincts, cette paire est renouvellée tous les deux à cinq ans. Sa gestion – création, activation, signature, renouvellement, sauvegarde, etc. – est répartie sur sept personnes de la communauté Internet qui devront se coordonner. Ainsi, une procédure de génération ou de signature nécessitera la présence physique d’au moins trois d’entre eux. 

Les principes techniques sont décrits dans un document de travail, disponible sur le site du NTIA (National Telecommunications and Information Administration).

Les domaines .com et .et opérationnels d’ici à mars 2011

Côté déploiement, le planning est serré. La génération des premières clés maître KSK se fera en décembre prochain. Le déploiement des clés ZSK sur les 13 serveurs racine se fera dans la foulée, mais de manière progressive, jusqu’en mai ou juin 2010. VeriSign s’attaquera ensuite aux domaines .com et .net. Sur ces deux zones, DNSSEC devrait être opérationnel d’ici à la fin du premier trimestre 2011. L’opérateur va aider les bureaux d’enregistrement dans leur migration vers DNSSEC. Il a également mis en place un laboratoire d’interopérabilité pour tester la conformité des équipements et logiciels réseaux avec ce protocole.

Les .com et .net ne seront pas les premiers domaines à adopter DNSSEC, comme le montre la carte du fournisseur Xelerance. Les .org et .gov ont déjà passé le cap, ainsi que certains domaines de pays (Suède, République tchèque, Bulgarie, Brésil, Porto Rico, Namibie, Thaïlande, Turkmenistan). Pour le .fr, le déploiement de DNSSEC est géré au sein du projet IDSA.

Il faut préciser, toutefois, que ce protocole n’est pas une solution magique. « DNSSEC est une composante importante de la sécurité sur Internet, mais ne résout pas tous les problèmes, explique Ken Silva, directeur technique de VeriSign, dans un communiqué. C’est pourquoi il faut mettre en place d’autres couches de protection, comme l’Extended Validation SSL ou l’authentification à double facteur. »

Lire l’article sur : 01netPro…

Partager cette information :