HADOPI in the middle

Les réactions a la loi HADOPI ont été tellement nombreuses que j'ai jugé inutile de faire un billet la dessus étant donné que tout à déja été dit et que de toutes manières cette loi n'a pas changé le point de vue que j'ai depuis des années. Sur Internet et en particulier dans la communauté du logiciel libre, j'ai pu lire de très bons articles, beaucoup de chose inutiles (le blackout ... sérieusement, si vous voulez faire quelque chose d'utile passez tout en HTTPS , la au moins ça servira a quelque chose, un carré noir n'apportera rien a personne.) et quelques énormités. Ce sont donc ces quelques énormités ou plutôt une seule qui m'a poussé a écrire ce billet.
J'ai plusieurs fois lu des choses du genre "oh, le mouchard du gouvernement je m'en fous, je le mettrai dans une machine virtuelle et il verra rien", par exemple chez Swâmi Petaramesh.
Alors je vais pas y aller par quatres chemins, je vais juste montrer qu'une attaque du type man-in-the-middle est la chose la plus simple du monde a réaliser...
D'abord le concept : Sur votre réseau local, une machine veux attaquer le reste du réseau, l'attaquant va lancer des requêtes ARP sur l'ensemble des machines, en gros pour dire "coucou, je suis le routeur". Suite a cela, tout le trafic va passer par la machine de l'attaquant. Pour la démonstration, j'ai utilisé le logiciel ettercap qui facilite grandement la tache. Ettercap, en plus de réaliser l'attaque MITM a quelques fonctionnalités sympatiques, voyez plutôt le screenshot suivant (cliquez pour agrandir)

Capture-ettercap_NG-0.7.3.png

On voit non seulement la liste des sites visités par toutes les machines du réseau, mais aussi le mot de passe en clair des connections aux sites Web non-sécurisés.
Ce n'est qu'un exemple, il est possible de récupérer absolument toutes les données qui transitent sur le réseau (a l'aide de Wireshark par exemple).
Si vous voulez essayer, voila un tuto, qui explique bien mieux que moi : http://openmaniak.com/ettercap.php

Voila, tout ça pour dire que lorsque je vois des personnes prêtes à autoriser dans leur réseau domestique (que ce soit dans une machine virtuelle ou sur un vieux pc au fond du placard ...) un programme aussi dangereux et intrusif que celui que tout le monde imagine,cela me perturbe vraiment.
La seule présence de la Freebox chez moi (qui se met a jour toute seule, dont le code source est totalement fermé) me dérange suffisamment pour que je n'aille pas empirer les choses avec un logiciel manifestement mauvais pour moi même...
Un tel logiciel, si jamais il existe n'a rien a faire dans le réseau de toute personne qui attache un tant soit peu de valeurs au logiciel libre tellement ses principes en sont éloignés. J'espère que les internautes seront nombreux a faire preuve de désobéissance civile et refuseront, dans leur parc informatique entier, tout logiciel d'insécurisation imposé (ou fortement conseillé) par le gouvernement.

Je profite de ce billet pour soulever certaines questions a propos du chiffrement des sites Web. Est il vraiment nécessaire d'afficher un message d'erreur intimidant et faire cliquer 4 fois l'utilisateur dans Firefox a chaque fois que l'on a affaire a un site utilisant un certificat SSL auto-signé ? Je n'ai rien contre les organismes officiels délivrant des certificats, grâce a eux nous pouvons effectuer des achats sur internet et après tout c'est un peu Verisign qui a permis a Ubuntu de voir le jour. Mais je pense que les sites auto-signés doivent se démocratiser, Si les FAI ne voient que des informations chiffrées alors toute tentative de filtrage sera rendue inefficace. Aujourd'hui nous utilisons essentiellement pour le transfert de données le même schéma que celui de la carte postale : libre a la poste, aux facteurs de regarder les messages. Or dans la réalité nous n'envoyons presque pas de cartes postale, les lettres sont mises dans une enveloppe et ces enveloppes ne sont pas certifiées par un quelconque organisme délivrant des enveloppes payantes. Les correspondances n'en restent pas moins confidentielles. Tout comme les envois postaux, "l'enveloppe" doit se généraliser sur Internet, et les logiciels libres doivent êtres modifiés pour en faire leur comportement par défaut.

Vus : 930
Publié par Mathieu Comandon : 31