HADOPI in the middle
14 mar. 2009
Par Strider - General - Lien permanent
Les réactions a la loi HADOPI ont été tellement nombreuses que j'ai jugé inutile de faire un billet la dessus étant donné que tout à déja été dit et que de toutes manières cette loi n'a pas changé le point de vue que j'ai depuis des années. Sur Internet et en particulier dans la communauté du logiciel libre, j'ai pu lire de très bons articles, beaucoup de chose inutiles (le blackout ... sérieusement, si vous voulez faire quelque chose d'utile passez tout en HTTPS , la au moins ça servira a quelque chose, un carré noir n'apportera rien a personne.) et quelques énormités. Ce sont donc ces quelques énormités ou plutôt une seule qui m'a poussé a écrire ce billet.
J'ai plusieurs fois lu des choses du genre "oh, le mouchard du gouvernement je m'en fous, je le mettrai dans une machine virtuelle et il verra rien", par exemple chez Swâmi Petaramesh.
Alors je vais pas y aller par quatres chemins, je vais juste montrer qu'une attaque du type man-in-the-middle est la chose la plus simple du monde a réaliser...
D'abord le concept : Sur votre réseau local, une machine veux attaquer le reste du réseau, l'attaquant va lancer des requêtes ARP sur l'ensemble des machines, en gros pour dire "coucou, je suis le routeur". Suite a cela, tout le trafic va passer par la machine de l'attaquant. Pour la démonstration, j'ai utilisé le logiciel ettercap qui facilite grandement la tache. Ettercap, en plus de réaliser l'attaque MITM a quelques fonctionnalités sympatiques, voyez plutôt le screenshot suivant (cliquez pour agrandir)
On voit non seulement la liste des sites visités par toutes les machines du réseau, mais aussi le mot de passe en clair des connections aux sites Web non-sécurisés.
Ce n'est qu'un exemple, il est possible de récupérer absolument toutes les données qui transitent sur le réseau (a l'aide de Wireshark par exemple).
Si vous voulez essayer, voila un tuto, qui explique bien mieux que moi : http://openmaniak.com/ettercap.php
Voila, tout ça pour dire que lorsque je vois des personnes prêtes à autoriser dans leur réseau domestique (que ce soit dans une machine virtuelle ou sur un vieux pc au fond du placard ...) un programme aussi dangereux et intrusif que celui que tout le monde imagine,cela me perturbe vraiment.
La seule présence de la Freebox chez moi (qui se met a jour toute seule, dont le code source est totalement fermé) me dérange suffisamment pour que je n'aille pas empirer les choses avec un logiciel manifestement mauvais pour moi même...
Un tel logiciel, si jamais il existe n'a rien a faire dans le réseau de toute personne qui attache un tant soit peu de valeurs au logiciel libre tellement ses principes en sont éloignés. J'espère que les internautes seront nombreux a faire preuve de désobéissance civile et refuseront, dans leur parc informatique entier, tout logiciel d'insécurisation imposé (ou fortement conseillé) par le gouvernement.
Je profite de ce billet pour soulever certaines questions a propos du chiffrement des sites Web. Est il vraiment nécessaire d'afficher un message d'erreur intimidant et faire cliquer 4 fois l'utilisateur dans Firefox a chaque fois que l'on a affaire a un site utilisant un certificat SSL auto-signé ? Je n'ai rien contre les organismes officiels délivrant des certificats, grâce a eux nous pouvons effectuer des achats sur internet et après tout c'est un peu Verisign qui a permis a Ubuntu de voir le jour. Mais je pense que les sites auto-signés doivent se démocratiser, Si les FAI ne voient que des informations chiffrées alors toute tentative de filtrage sera rendue inefficace. Aujourd'hui nous utilisons essentiellement pour le transfert de données le même schéma que celui de la carte postale : libre a la poste, aux facteurs de regarder les messages. Or dans la réalité nous n'envoyons presque pas de cartes postale, les lettres sont mises dans une enveloppe et ces enveloppes ne sont pas certifiées par un quelconque organisme délivrant des enveloppes payantes. Les correspondances n'en restent pas moins confidentielles. Tout comme les envois postaux, "l'enveloppe" doit se généraliser sur Internet, et les logiciels libres doivent êtres modifiés pour en faire leur comportement par défaut.
Commentaires
Je doute fort qu'un logiciel de type HADOPI se mette à pratiquer de l'ARP poisoning sur le réseau local où il tourne, cela serait à bon droit considéré comme une attaque et une détérioration de ce réseau, et pourrait avoir des conséquences aussi désastreuses que médiatiquement bruyantes s'il venait à foutre la zone dans le réseau d'une entreprise par exemple.
L'attaque par ARP poisoning est l'une des multiples attaques possibles contre un LAN, et est envisageable quand elle est effectuée contre une cible précise par un gros méchant précis ;-) mais je ne crois pas une seconde qu'un logiciel de type HADOPI puisse s'amuser à ça de manière systématique (et il serait facile de le repérer, l'info ferait le tour d'Internet en 48 heures).
De plus, même si une telle attaque est possible, sa parade l'est également (mettre la machine HADOPISTE routée seule dans un autre sous-réseau, ou définir l'adresse MAC du routeur en ARP statique sur les autres machines, ou firewaller les autres machines pour qu'elles n'acceptent absolument aucun échange de paquet avec l'adresse MAC de la machine faisant tourner l'HADOPItruc, etc).
Donc bof-bof.Le fait qu'un scénario d'attaque soit possible, mais très improbale, vite détectable, que l'information à ce propos circulerait largement à fort dommage pour la réputation du logiciel l'embarquant et de ses "responsables", et en tout état de cause parable de plusieurs manières ne me semble en rien invalider l'article où j'affirme qu'on pourra si on veut faire tourner ce truc sur une machine du réseau tout en téléchargeant depuis d'autres ( http://petaramesh.org/post/2009/03/... ), article sur lequel vous avez créé un rétrolien qui m'a fait découvrir votre propre article, en remarquant au passage que dans votre article vous ne citez pas clairement le mien ni ne le liez (dois-je comprendre qu'il s'agit de "l'énormité" dont vous parlez ?), ce qui me semble contraire au principe même de l'utilisation du rétrolien, qui est supposé servir à mentionner sur un site que son article est cité ailleurs, ce qui n'est pas le cas chez vous, simple petite remarque au passage sur votre emploi de la méthode...
Swâmi PetarameshJe suis à 200% d'accord avec toi. Afficher un logo noir sur son site, c'est bien. Utiliser les outils mis à notre disposition quotidiennement, c'est mieux.
RicardDans toutes les install party que j'ai pu faire, parmis les dizaines de gens (geeks) que j'ai rencontré, seulement deux utilisaient GPG par exemple. O_o' Cherchez l'erreur.
@Swâmi Petaramesh :
striderOui, désolé pour le rétrolien, j'ai retrouvé votre article après avoir publié le mien et je n'ai pas pensé a modifié mon billet en conséquence (c'est réparé maintenant).
Bien sur que l'attaque par ARP poisonning comme je l'ai présentée est très improbable venant d'un logiciel du venant du gouvernement, mais je voulais surtout insister sur le fait qu'avoir une machine (virtuelle ou physique) sur son réseau qui n'est pas de confiance est dangereux, contrairement a ce que laisse penser votre article ou les quelques autres que j'ai lu qui mettaient le lecteur en confiance par rapport au fait de laisser un mouchard tourner de manière 'isolée'. Certes, il existe des méthode pour vraiment isoler une machine sur le réseau comme vous le faites remarquer mais cela va au delà de la simple machine virtuelle et on entre dans les compétences d'un admin réseau (et le pourcentage d'admins réseau dans la population est faible).
Un mouchard pourra utiliser d'autres méthodes plus subtiles qu'une bête attaque ARP. Le logiciel installé chez l'utilisateur peut être un simple client du logiciel qui ira demander des comptes a la version serveur installée chez le FAI (qui aura accès a toutes les données). Encore plus pernicieux, le logiciel peut être installé sur la box de l'utilisateur a son insu (d'où mon malaise sur la possession de la Freebox).
Dans tout les cas, ce type de logiciel est dangereux, et mettre les internautes en confiance sur des possibles moyens de le détourner de son rôle principal l'est tout autant car le seul véritable moyen de s'en protéger est de refuser son installation.
Comme déjà dit, il est possible de se défendre contre des attaques ARP.
Mais je tiens à ajouter quelques trucs :
Ceux qui utilisent le cryptage des logiciels de torrents ne devraient pas voir leurs activités inquiétées par ce genre d'attaque. Mais leur surf internet n'aura quand même plus rien de privé ...
Ce genre d'attaque peut aussi mettre un réseau à genou :
J'ai déjà fait un essai : une freebox au milieu de la maison, 2 PC connectés en CPL à chacune des extrémités de la maison. Le premier PC détourne tout le trafic du PC 2 par une attaque ARP, ben là le PC 2 perd énormément de paquets, une page internet met 30 secondes à s'ouvrir, et un 3eme PC introduit au niveau de la freebox n'a pas ces problèmes suite à l'attaque. Ce genre d'attaque déplace le point de départ des paquets, et donc pose ces problèmes. Et je ne pense pas que ce soit anecdotique : je partage actuellement ma connexion par WiFi avec mon voisin, il a été obligé d'acheter un routeur WiFi pour déplacer le point d'émission du WiFi. Si mon PC se met à pratiquer ce genre d'attaque, il sera déconnecté vu qu'il reçoit déjà très mal la connexion. Donc je pense pas qu'un logiciel de l'HADOPI puisse utiliser ce mécanisme, qui poserait énormément de problèmes à pas mal de gens. Donc toute solution qui consiste à détourner le trafic me parait pas envisageable.
Et enfin le blackout, c'est symbolique ... Et ça a aussi un effet informatif, vu qu'énormément de non-geek n'ont jamais vu le mot HADOPI, si ils voient une banderole blackout, ils vont se dire c'est quoi cette merde ? Et à la 5eme qu'ils vont voir en moins d'une heure, y'a pas mal de chance qu'ils y cliquent dessus pour voir à quoi ça correspond. Avec un peu de chance derrière, ils iront signer des pétitions. Enfin donc voilà je suis pas sûr ce soit totalement inutile.
Mais enfin sinon totalement d'accord avec toi sur le fait qu'il faut absolument se battre pour ne pas avoir à utiliser ce genre de mouchard.
ezaezaJuste 2 remarques : s'il est en effet possible de protéger un réseau contre des attaques ARP, je n'ai pour l'instant pas rencontré de réseau qui le soit et cela n'inclue pas seulement des réseaux domestiques.
striderEt pour le blackout, l'intention est louable mais mon avis la dessus est que la blogosphère (ou les sites sur l'informatique en général) tournent en circuit fermé. Il accueillent toujours le même public qui est constitué d'un public plus ou moins geek et dont 99% sont contre déjà HADOPI.
La ou nous nous croyons forts et nombreux, le gouvernement ne voit qu'un "groupuscule libertaire" et le grand public ignore totalement notre existence (ainsi que celle de la loi en train d'être votée).
Cela aurait été autre chose si on avait vu des écrans noirs "le net en france ..." pendant les pubs de TF1, mais a ce compte la autant espérer voir Denis Olivennes porter un tee shirt "The Pirate Bay".
Alors que sous Linux, installer un logiciel de capture est difficile sans compte root, avec ce mouchard le logiciel sera deja installé, il n'y aura plus au pirate qu'à observer.
De plus il existe plein de logiciels pour creer de faux paquets reseau ou les modifier.
anomanSalut,
Juste un petit post Hors Sujet pour te dire que le https n'est pas non plus secure.
Il y a depuis longtempts la faille en faisant tomber le ssl. En gros tu fais un mitm et tu change à la volée toute les liens https en http c'est radical et puis cerise sur le gateau c'est automatisé par sslstrip ....
Lors d'une conférence aux states black hat, un chercheur à trouver une faille pour émettre des certificat valide pour n'importe quel site si il possede un certificat signé valide pour les navigateurs. EN gros il a un certificat verisign pour trucmachin.com il peut ensuite produire un certificat valide pour ebay paypal .....
Il faut arreter de se reposer sur https en se disant que c'est secure...
JahmanSalut,
Juste un petit post Hors Sujet pour te dire que le https n'est pas non plus secure.
Il y a depuis longtempts la faille en faisant tomber le ssl. En gros tu fais un mitm et tu change à la volée toute les liens https en http c'est radical et puis cerise sur le gateau c'est automatisé par sslstrip ....
Lors d'une conférence aux states black hat, un chercheur à trouver une faille pour émettre des certificat valide pour n'importe quel site si il possede un certificat signé valide pour les navigateurs. EN gros il a un certificat verisign pour trucmachin.com il peut ensuite produire un certificat valide pour ebay paypal .....
Il faut arreter de se reposer sur https en se disant que c'est secure...
Jahmanil n'y a rien de plus simple que de faire tourner une machine virtuel dans un sous reseau, une video sera bientot dispo pour certains site en avant premiere, mais aussi pour le publique des le jour ou cette loi absurde sera adopté.
cette video sera accompagné de tout ce qu'il faut pour faire tourner un xp pro sp3 dans une vm, la machine virtuel sera fourni aussi.
je risque de faire sautez ma bande passante avec ce genre de truc mais m'en fout, faut ce qu'il faut
Dans ce monde nous sommes la loi et entendons bien le rester
webmastervoici comment contourner une eventuel "attaque du type man-in-the-middle" si l'hadopi-ware va dans ce sens.
webmasteril ne pourrira que la machine virtuel qui meme peut repondre il n'y a qu'un pc a la maison j'ai fait le tour du reseau y en a pas d'autre
puisque sur la vidéo nous ne somme plus dans le meme reseau
donc foutu
http://www.france-en-souffrance.net...