Archives par étiquette : Hadopi

L’extranet de TMG aussi est vulnérable au XSS

Bon c’est pas que j’ai l’impression de me répéter mais après avoir découvert une faille XSS sur Hadopi.fr je pensais qu’ils feraient le nécessaire auprès des autres prestataires au service de cette loi, à commencer par celui qui manipule toutes les informations sensibles : la fameuse police privée TMG.

Le truc drôle c’est que même si j’espérai que hadopi.fr et les 40 sites gouvernementaux vulnérables trouvés avec Bluetouff et RootBSD commenceraient à les faire réfléchir sur la pertinence d’un délit de négligence caractérisée ou au moins les pousser à sécuriser un minimum leurs outils (oui parce que bon, donner l’exemple c’est mieux quand on veut « changer les comportements »)… Je n’y ai jamais cru un instant…

Bref ce coup-ci c’est l’interface qui sert aux ayants-droits pour communiquer avec la Hadopi qui présente une vulnérabilité au XSS sur le formulaire de connexion, fièrement suivi d’un logo « Secured by Thawte ». Bah oui la sécurisation c’est pas juste un certificat valide (aka une solution technique), c’est un ensemble de comportements et de précautions à prendre que l’on ne peut pas demander à un simple citoyen de connaitre et de maitriser quand ceux qui mettent en place des sites pour le gouvernement, les Hautes Autorités ou les milices à financement public n’en sont pas capables…

Cette faille permettrait quand même, si j’envoie un lien malicieux à quelqu’un de connecté à l’interface en question (au hasard chez l’Alpa ?), de voler ses cookies et de les envoyer sur un serveur tiers. Partant de là je n’ai plus qu’à recréer le cookie de mon côté pour être connecté à mon tour exactement comme si j’avais eu les informations de connexion…

Comme pour Hadopi.fr l’utilisation de $_REQUEST est une aberration, le filtrage des infos passées ou tout simplement un petit htmlentities aurait pu éviter cela… Ça coute pas plus cher les gars hein !

J’ai bien sur averti qui de droit (Eric Walter sur Twitter et TMG via le formulaire de contact dispo sur leur site) pour qu’ils corrigent… Mais on ne devrait pas trouver ce type de failles sur ce type de sites…

Je vous laisse sur la réflexion suivante : est-il normal de laisser le droit à cette entreprise dont la structure présente pour le coup des signes manifestes de négligence caractérisée le droit de collecter des informations sensibles sur des Internautes qui vont être accusés à leur tour d’être négligents ?

Les labs Hadopi ? Non merci !

Le ton est donné, la Hadopi ne parle plus de riposte réponse graduée, elle communique sur ses labs, sorte de laboratoires de recherche dont on sait finalement peu de choses (à part que la Hadopi veut les mettre en avant). Marc y consacrait d’ailleurs un article ce matin sur PCInpact

Au détour d’une question à la conférence de presse de la Hadopi je me suis moi même fait proposer d’entrer dans le système par une phrase innocente : « Mais vous savez Paul, votre candidature est la bienvenue »… La réponse fut automatique, malgré la fatigue et le côté inattendu de cette proposition indécente : « non merci ». Le reste a été discuté en « off » justement… Mais la réponse n’a pas changé !

Depuis j’ai eu beaucoup à pensé à cela, à en discuter avec quelques amis qui ont eu aussi ce même type de propositions, d’autres tout à fait extérieurs à tout cela, et pas mal de membres du PP (les pauvres ils supportent toutes les conneries que je vis ^^).

La conclusion est plutôt simple, au delà de tenter de réduire certains opposants au silence le but est encore plus vicieux : diviser pour mieux régner ! Pour se convaincre de cela il suffit de lire les commentaires de l’article de Marc et de voir à quel point le débat s’enflamme non plus sur la loi Hadopi, sa mise en place, mais sur le fait d’entrer ou non dans les labs !

Certains veulent les infiltrer, d’autres veulent travailler avec eux en espérant que de bonnes choses en sortent naturellement, et enfin il y a ceux qui, comme moi, sont contre le principe même… Peu importe !

Il est presque évident que rien ne sortira de ces labs ou que ce qui en sortira sera inintéressant au possible… Certains veulent essayer de changer cela et vont gagner de l’argent au passage… Pourquoi pas, c’est toujours ça qui sera détourné de la machine à spam… Mais ils ne faut pas commencer à se diviser sur un point aussi ridicule que celui-ci… La lutte pour la défense d’un Net libre mérite un débat plus élevé que cela !

Avant de penser à ce que vous percevez d’une situations pensez à ce que la personne (ou la haute autorité par exemple) avait en tête en amenant la situation au point où elle est actuellement…

Hadopi rime avec hypocrisie…

Je dois bien l’avouer, je suis un gros floodeur sur Facebook… J’ai tendance à relayer un grand nombre d’articles me plaisant ou parlant du PP, de moi et du combat Hadopi en général… Je pensais donc que mes quelques amis avaient compris en quoi cette belle loi qu’est Hadopi est dangereuse inadaptée et surtout hypocrite… Et bien non !

Ce matin j’ai eu la joie de découvrir qu’un ami était pro-hadopi par un message auquel je me suis empressé de répondre et que j’ai publié sur Twitter :

Vive la loi HADOPI …. Allez acheter bande de voleur …

Il faut bien comprendre deux choses par rapport à la Hadopi : elle ne se préoccupe pas un seul instant des artistes et la mise en opposition des artistes et de leur public est dangereuse pour tous !

La Hadopi ne se préoccupe pas des artistes

Ai-je bien besoin de préciser ce point ? Sur les 12 millions d’euros de budget pas un euro ne va tomber dans la poche des artistes. En lieu et place de cela, qui pourrait être intéressant pour soutenir une industrie soit-disant en crise (oui oui on attend toujours des preuves de cela…).

La Hadopi ne dialogue même pas avec les ayants-droits, ce qui est le boulot de TMG, une entreprise privée à qui l’on donne des droits de police du net et qui est à la solde des ayants-droits (aka des maisons de disques et des producteurs hein, pas des artistes). La hadopi de son côté ne fait qu’envoyer des spams de façon tout à fait obscure sans se soucier un instant de la véracité des relevés effectués par TMG.

Des audits de cette société sont prévus… Il parait… En attendant on a affaire à une Haute Autorité qui fait confiance aveuglément à une société privée à la solde d’intérêts privés pour aller jusqu’à des sanctions de catégorie 5 !

La Hadopi a ouvert un dialogue avec ses opposants, j’ai par exemple été reçu en qualité de porte parole du PP dans leurs locaux pour exprimer mon point de vue et surtout celui du PP. Il serait intéressant qu’elle prenne aussi le temps de recevoir des artistes qui sortent du système de lavage de cerveau des majors et qui puissent donner leur réel avis dont la Hadopi pourrait tenir compte (je pense par exemple à Oxmo Puccino qui s’est exprimé sur le Nouvel Obs – si tu lis ça Oxmo, bravo !)

Certains auront envie de me rétorquer que par rebond en protégeant les intérêts des majors on protège ceux des artistes. Mathématiquement oui, idéologiquement non. Si demain je me fais engueuler par Universal (et par engueulé je veux dire couper mon accès au net pendant un mois et devoir payer 1.500€ d’amende) parce que j’ai téléchargé du Zazie (héhé c’est marrant de faire un article avec que des artistes que je n’écoute pas) pensez vous que je vais continuer à apprécier cette artiste et à vouloir acheter sa musique ou aller à ses concerts ?!

Ce qui nous amène à mon second point :

Mettre en opposition l’artiste et son public ? WTF !

La question est de définir ce qui fait de l’artiste un artiste ? Son art ou son succès ?

La bonne réponse est son art, chez Universal on vous répondra son succès… On va donc partir sur ce second postulat et traiter la réalité des choses juste après.

En admettant donc que l’on est artiste si l’on rencontre un certain succès auprès du public le fait de s’attaquer à ce même public, qu’il paye ou non, est stupide dans bien des aspects : quelqu’un qui télécharge un CD viendra peut-être plus facilement à un concert que s’il ne connait pas la musique, quelqu’un qui télécharge un film aura plus de chances de lâcher 20€ à la sortie du DVD parce qu’il a aimé le film et n’a pas déjà payé 10€ pour le voir au cinéma, … Le partage n’est pas un frein à la culture ou à son financement : il est un moteur incontestable de la culture (qui a les moyens aujourd’hui de remplir un ipod 64Go légalement ?) et un moteur indirect du financement de cette même culture !

Alors pourquoi les majors luttent elles comme cela contre des moulins à vent ? Tout simplement parce qu’elles en sont obligées pour continuer à contrôler un business qui leur échappe !

Aujourd’hui les majors n’ont plus aucune légitimité à part de faire goulot d’étranglement en conservant la main mise sur les radios et les sociétés de diffusion autres par un choix méthodique de ce que vous devez écouter… C’est la SACEM qui décide aujourd’hui de ce que vous écouterez demain ! Alors, oui c’est tant mieux pour la centaine d’artistes qui ont le feu vert de cette société mais, pour les autres, c’est démerde toi !

Ce qui nous amène à considérer le fait que ce qui fait l’artiste est son talent et pas son évaluation en tant que bankable par une société qui décide de qui est connu ou non.

Dans un monde idéal (dans quelques années en fait) ce ne sont pas les choix d’une société qui s’engraisse sur le marché de la culture qui feront votre culture, mais le talent réel de l’artiste, plébiscité par son public. Aka plus un artiste plait et plus il a de succès… C’est con, mais c’est bien loin d’être le cas actuellement.

Dans ce schéma pourtant enfantin et qui n’est rendu possible que par le réseau formidable qu’est Internet (réseau que les majors veulent, comme par hasard, contrôler) l’opposition d’un artiste et de son public signifie la mort de l’artiste… Cela ne veut pas dire que l’artiste ait à se conformer aux moindres désirs de ses fans et produire la même soupe commerciale que nous servent les majors actuellement, cela veut dire que si un artiste se constitue une base de fans en faisant ce qu’il aime faire il ne doit pas pour autant en oublier son public qui aime la même chose que lui et qui l’a aidé à devenir ce qu’il est et à, potentiellement, vivre de ce qu’il produit.

Dans tous les schémas possibles et imaginables l’opposition entre un artiste et son public est néfaste à l’ensemble de la culture. Et c’est précisément une part de la mission de la Hadopi que de mettre en place ce type de comportements sous couvert de protéger l’industrie du divertissement et surement pas la culture !

Hadopi is over… If you want it !

J’emprunte cette maxime à John Lennon et Yoko Ono en la modifiant à peine pour vous annoncer une bonne nouvelle : Hadopi n’est plus, ils ont perdu et ont créé un précédent mémorable dans la lutte contre nos libertés avec lequel il faudra composer à l’avenir chaque fois que le législateur envisagera de s’en prendre à nos droits.

Alors non, la loi n’est pas abandonnée, quelques mails vont peut-être, dans un élan de bravoure, partir… Mais au delà de cela il est bon de se demander quels étaient les vrais buts de la Hadopi puisque de leur propre aveu il ne s’agissait pas de lutter contre les pirates de toutes façons plus forts que les « experts » de la Haute Autorité. Il ne s’agit pas non plus de profiter à la culture puisque si c’était le cas c’est le côté pédagogique de la loi qui aurait été mis en avant…

Le vrai but de la Hadopi était de faire peur ! Faire peur en soi n’étant pas une finalité, il devait y avoir un but « caché » derrière tout cela. Et oui il y a en effet un but à tout cela : forcer l’installation volontaire d’un logiciel de « sécurisation » (penser à ajouter « surveillance » aux synonymes de « sécurisation » dans le petit Robert).

Et c’est là que nous devons agir et dire non à l’Hadopi ! Ils ne pourront en effet jamais condamner personne aux 1.500€ d’amende et à la suspension de la connexion à internet pour la simple et bonne raison que s’ils s’y essayaient les conséquences seraient très graves pour eux et pour la France : invalidation (très probable) de la loi devant la cour Européenne des Droits de l’Homme ou la cour Constitutionnelle…

Ce qui compte ce n’est pas tant que les mails ou les lettres recommandées partent (et coûtent quand même des sous au passage *sic*) mais que personne ne sera jamais condamné par la Hadopi ! Et si cela venait, pour je ne sais quelle raison à vous arriver je vous encourage à faire un battage médiatique pour vous faire connaitre des journaux mais surtout des associations type UFC qui ont déjà un peu de mal à supporter Hadopi et qui devraient vous aider…

Si vous veniez à recevoir 3 avis, et donc passer par la case le dossier peut-être transféré au parquet contactez moi, personnellement… Je ferai tout mon possible pour vous accompagner dans une procédure qui fera tomber Hadopi… Une bonne fois pour toutes !

Pour le moment la seule chose à faire c’est d’attendre, de les regarder gaspiller des sous à relever des IP qui n’ont pas valeur de preuve, d’envoyer des mails qui n’ont aucune valeur en droit pénal, et finalement de se pisser dessus au moment de passer à l’étape suivante parce que c’est juste impossible pour eux…

La seule chose à retenir dans tout cela c’est qu’il faut éviter que le public confonde surveillance et sécurisation comme les confond déjà l’Hadopi et informer un maximum de monde sur les risques relatifs à l’installation de ce Spyware ! Parce que finalement c’est la seule chose qui subsistera à l’Hadopi quand elle tombera…

Sécurisation de la ligne – Même chez Hadopi c’est pas gagné !

Hier soir j’ai reçu un appel de Renaud Veeckman, l’un des créateurs de SOS-Hadopi et un très bon compagnon de travail (Offres Légales et Ethiques notamment) me prévenant qu’il serait ce matin sur Sud Radio pour discuter de son bébé (monté avec Jerôme Bourreau Guggenheim et Christophe Berhault).

Ayant complètement zappé je me suis penché sur le podcast de rediffusion de l’émission (disponible ici, pas de licence visible donc il reste là bas – à partir de 68 minutes) que j’ai écouté en travaillant. Je suis du coup agréablement surpris d’entendre monsieur Eric Walter, secrétaire général de la Hadopi également présent sur l’émission et qui va du coup pouvoir présenter son point de vue et l’opposer à celui de Renaud dans un débat qui promet d’être intéressant.

Et bien figurez vous que j’ai appris quelque chose sur Hadopi ! Apparemment si l’on éteint son ordinateur la connexion est sécurisée ! Ce qu’il y a de bien c’est que j’ai plusieurs ordinateurs dont au moins un est toujours éteint (certains sont même débranchés !) – Dois-je en conclure que ma connexion est de fait sécurisée ?

Passé la caricature (on comprend bien qu’il s’agit là d’une bourde sans réelle gravité) je m’inquiète de l’impact d’une telle désinformation sur la ménagère de moins de 50 ans qui écoute Risoli et qui se dit « oh bah ça va, tant que je suis devant mon PC je risque rien » et qui, une semaine plus tard reçoit un courriel Hadopi parce que son réseau wifi est ouvert…

A bon entendeur !