On oublie trop souvent de voir les bons côtés de la Hadopi et en ces temps de promotion, de publicité, que dis-je de propagande, il est bon de reconnaitre à Hadopi quelques qualités. Ce soir notamment Hadopi m’a rendu un service immense !

J’avais pris cette mauvaise habitude de regarder de temps en temps la télévision et, à part pour savoir ce que les français qui se contentent de la boite à images pour s’informer de ce qui se passe en dehors de leur quotidien immédiat, ce machin n’a finalement que peu d’intérêt… Après avoir mangé deux spots de propagande de la Hadopi en 10mn (et ce juste après avoir regardé un bon film) j’ai décidé de couper la télévision jusqu’à la fin juillet, date de fin de la campagne en cours.

Cette fréquence n’est d’ailleurs pas sans soulever des interrogations sur Twitter où certains se demandent comment Hadopi peut-être si présent pour un si « maigre » (toutes proportions gardées) budget…

Au delà de l’épisode de ce soir il est non de se souvenir tout le bien que je pense de la Hadopi, point de vue que j’ai résumé dans ce post et dans ma lettre de motivation au poste de community manager !

D’ici là, merci Hadopi, j’ai un film au chaud !

Vous connaissez la rengaine, chaque fois que Hadopi met son site à jour je trouve une faille sur les ajouts. Ce matin c’est un tout nouveau site qui est mis en ligne : pur.fr (vous n’avez pas cru que j’allais leur faire un backlink ?) et forcément je me suis mis dessus – pas de jour férié qui compte !

Et forcément, après avoir grillé 2 de mes IP (j’en ai quelques unes sous le coude c’est pas bien grave) j’ai fini par trouver une petite XSS… Comme un air de déjà-vu !

Sauf que nos amis de Agence H ont pris la précaution d’installer une classe qui se charge de filtrer les URL suspectes… Un peu violente puisqu’elle va blacklister l’adresse IP du supposé attaquant lui interdisant dès lors l’accès à la totalité du site… Super pour un site d’information sur les « usages responsables » !

Le trou est sur la page de recherche (oui oui il y en a une, elle est juste cachée) et vient du non-filtrage de la variable recherchée… Un grand classique !

Ainsi en appelant l’url suivante : http://www.pur.fr/search/node/here »>ICI – Le code source de la page deviendra :

On voit assez nettement que les caractères surlignés sont interprétés comme du code HTML et non comme du texte. Sans la classe de blacklisting sauvage des IP, cette faille serait exploitable pour modifier le contenu de la page, exécuter du code arbitraire, … Ou ajouter The Pirate Bay dans les offres PURes par exemple…

On en revient donc au paradigme déjà avancé par la Hadopi : pour sécuriser sa connexion, il faut la couper !

Bon en passant le code source du site est juste affreux, l’optimisation inexistante et des brides de code PHP sont visibles en commentaire dans le code HTML…

4/20, revoyez votre copie élève Hadopi/Agence H !

Edit : @_noKid a trouvé un moyen (drôle) d’exploiter la faille sans énerver la classe anti-hack : http://goo.gl/ckwdY – Bien joué à lui !

Edit 2 : Moteur de recherche désactivé, @tieumtieum a eu le bon réflexe de faire une capture d’écran, ici : http://lockerz.com/s/110337119

Edit 3 : De fail en pire : @ssx3max me signale une autre XSS qui m’avait échappé et qui est déjà exploitée : http://t.co/VVSeWrF

Ok c’est le matin, je me réveille tranquillement, première cigarette devant BFM TV en regardant mes flux RSS… Et là je tombe sur cet article de Numerama qui présente la campagne de communication TV de la Hadopi.

Pour l’anecdote j’avais été contacté pour donner mon avis sur la campagne en question mais n’avais pas pu m’organiser, faute d’emploi du temps, pour me rendre disponible. J’avais refusé toute rémunération bien entendu…

Passé ce détail regardons ces 3 spots qui ont du être faits par la même boite (qui va finir par couler oui ou merde ?) qui avait réalisé commis les spots pour la carte musique jeune 100% kiff ?

Hadopi – spot TV 1 par Numerama

Hadopi – spot TV 2 par Numerama

Hadopi – spot TV 3 par Numerama

Alors je ne sais pas pour vous mais moi ce que je vois dans cette campagne de (dés)information c’est le message suivant : si vous ne voulez pas de la culture kleenex imposée par les majors et les studios hollywoodiens sans imagination favorisez les petits créateurs. Reste que je ne suis pas fan du label « PUR » qui fait franchement friser le point Godwin chaque fois que j’y pense… Mais j’aime le message !

Allez on se prend par la main, et on commence à pirater pour le bien de la culture, c’est Hadopi qui le conseille !

Deux billets en une journée c’est rare mais là c’est trop beau pour être vrai… Au hasard de mes lectures je tombe sur la superbe affiche du ministère de la Culture pour la fête de la musique 2011 et forcément… Je ris !

Et puis… Tiens je ne le connais pas ce site, il fonctionne comment, y’a quoi là ? Oh un beau formulaire de recherche… Ne me dîtes pas que…

Et bien si !

Donc le ministère de la Culture lui-même, celui qui a poussé la loi pour la confiance en l’économie numérique qui instaure entre autres joyeusetés le délit de négligence caractérisée, demandant à tous les internautes de s’improviser experts en sécurité (hey me piquez pas mon boulot !) ne respecte pas ses propres prérogatives et est incapable de sécuriser un minimum (mais là c’est vraiment rien hein !) son site ?

Après Hadopi, TMG, Orange, les Vaporware Hadopi, Universal, … Le ministère lui-même… Il faut encore d’autres démos ou quelqu’un va enfin entendre que le délit de négligence caractérisée est une fumisterie caractérisée ?

Juste pour info je peux tout à fait ajouter des liens vers des contenus contrefaits sur le site du ministère et alors qui saura qu’il est en train de télécharger « illégalement » ?

Bon je préviens pas ce coup-ci, il parait que le ministère est abonné au RSS de ce blog !

Cela fait trois fois (dont ma propre mère) que je vois des Internautes se faire allumer par la Hadopi pour un usage frauduleux de leur FreeWifi. L’incompréhension semble la règle alors je vais essayer de clarifier le truc (avec la réserve que je ne bosse pas chez Free et pense juste avoir compris comment cela fonctionne).

Concrètement lorsque vous ne le désactivez pas (activé par défaut), votre Freebox se comporte comme un hotspot accessible à tous les abonnés Free qui partagent eux aussi leur accès. Une adresse IP publique est dédiée à ce hotspot – donc si un voisin profite de votre accès via ce hotspot il n’aura pas la même adresse IP que vous.

Sauf que ce voisin, comme vous d’ailleurs, pour profiter de l’accès au hotspot, dispose de codes l’identifiant (numéro de client et mot de passe choisi par l’utilisateur). Ces identifiants ainsi que les IP dédiées au FreeWifi sont connus de Free qui fera le match avec le client à qui appartiennent les codes utilisés et non la passerelle (la freeboite).

En l’occurrence quand un FreeWifi est flashé, même si il utilise votre freeboite, c’est à priori la personne à qui appartiennent les codes qui sera incriminé par la Hadopi pour des faits de non-sécurisation de sa connexion.

Bien sûr cela est tout à fait illogique puisque les codes en question sont parfois très simples (pour s’en souvenir partout où l’on est), que certains sont dispos sur le Net et surtout parce que la connexion d’un abonné peut être (dans la mesure du possible encore une fois) tout à fait sécurisée et ses codes FreeWifi dans la nature (de son fait ou non – exemple : http://pastebin.com/5pC6TAh8).

Bref encore une connerie de la Hadopi, mais oui : on peut se faire flasher en FreeWifi (que l’on télécharge ou pas d’ailleurs, mais ça c’est le principe même de la Hadopi !)