PROJET AUTOBLOG


☠ Bluetouff's blog

Site original : ☠ Bluetouff's blog

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Paranormal connectivity

jeudi 25 juin 2015 à 02:29

Voilà, ça y est, je suis enfin rentré dans les intertubes du futur, je dispose d’une connexion FTTH, d’un upload qui me permet enfin d’envisager de travailler confortablement, d’un download qui me permet de regarder 4 flux simultanés de p0rn en HD et de coucher ma GeForce 210 (on ne se moque pas je voulais une carte graphique sans ventilo), ainsi que d’un ping me permettant de fragger pas grand monde vu que je ne suis pas gamer. Tout irait pour le mieux dans le meilleur des mondes si je n’avais pas découvert avec un étonnement de circonstance des pratiques un peu paranormales sur l’offre dont je dispose.

Tout d’abord, il faut comprendre un peu le contexte. Si mon nouveau FAI est Alsatis, le réseau physique appartient à REG.I.E.S. L’opérateur donne donc accès à Alsatis et Kiwi, deux opérateurs qui eux gèrent les abonnés professionnels et particuliers. REG.I.E.S fournit un routeur optique Inteno… un vrai, avec une prise optique et tout… pas comme sur une BBox fibre sans port optique

Le réseau est configuré comme suit :

REG.I.E.S dispose de l’accès Admin sur le routeur Inteno (non accessible depuis le Net).
Il vous est gracieusement laissé un accès user/user avec mot de passe non changeable. Cet accès vous permet de régler le NAT, le Wifi, de faire du filtrage d’url… et voilà. Il ne vous est par exemple pas possible de configurer sur ce routeur les DNS de votre choix. Si vous laissez quelqu’un se connecter en wifi sur votre réseau, ce dernier peut donc naturellement accéder à la configuration du NAT et du wifi…

Si vous m’avez suivi jusque là, vous vous souvenez donc que je me suis abonné chez Alsatis et peut-être commencez-vous à vous demander à quoi ils servent dans l’histoire vu que le réseau n’est pas le leur et qu’ils ne fournissent pas le routeur permettant de vous connecter au net.

Et c’est là que je n’ai pas encore de réponse à cette question… voici pourquoi.

Alsatis fournit un routeur pour l’option téléphonie à 5 euros par mois. Il s’agit d’un Cisco WRP400 avec un firmware qui baigne dans son jus, daté de 2011 et dont le support a été interrompu en 2013, date du dernier update firmware… qui de toutes façons ne vous sert à rien puisqu’aucune config ni aucun upgrade firmware n’est persistant une fois connecté au net.

ciscofirmwareC’est donc là que ça commence à devenir fun. Je découvre alors que changer le mot de passe du Cisco est là encore mission impossible, tout comme changer le nom du réseau wifi… le routeur ne veut rien entendre, il me force une configuration Alsatis dont je ne veux pas dés que je le relie au Net.

Bref ce routeur, il dégage de mon réseau. J’aimerais au minimum avoir la main sur mon LAN, mais ça ne semble pas possible chez ce FAI avec l’équipement qu’il fournit.
Ce routeur Cisco WRP400 est normalement accessible sur l’ip locale 192.168.15.1.

Vieil automatisme, je me plante justement d’IP locale en voulant le configurer, et je rentre machinalement l’IP 192.168.0.1. Et voici sur quoi je tombe.

Capture du 2015-06-24 14:02:58

Un équipement embarquant une board Mikrotik qui n’a strictement rien à voir ni avec mon routeur optique, ni avec le Cisco fournit par Alsatis. Me demandant un peu ce que cet équipement fout sur mon LAN, je contacte alors le service technique d’Alsatis. Ce dernier me répond qu’il faut que je m’adresse au service commercial. C’est bien connu, quand le service technique sèche sur la nature d’un équipement réseau, rien de tel qu’un commercial pour répondre à vos questions.

Et c’est pas fini

Alsatis, comme tout fournisseur d’accès vous attribue une IP publique de son range. L’attribution des IP peut être fixe ou dynamique, mais la règle quand on est un FAI digne de ce nom, c’est un abonné = une IP publique… mais voilà, chez Alsatis, ton IP publique, et bien c’est pas la tienne. Tout de suite on se dit que ça va vite être le bordel. Je précise qu’à ce jour je n’ai pas encore vu de contrat de la part d’Alsatis, mon inscription s’étant réglée par téléphone. Du coup je me demande pour quel type d’Intranet j’ai pu signer… un début de réponse se trouve ici, dans les CGV, mais c’est tellement elliptique qu’au final, je ne sais toujours pas si j’ai à faire à une offre Internet ou un accès au LAN d’Alsatis, comme à l’époque d’AOL.

4.1– Le Service Internet Haut Débit :
Selon l’offre souscrite, le Client dispose pendant la durée de l’abonnement au Service Internet d’un nombre défini d’adresses emails,
d’un espace abonné et, en outre dans le cas d’une offre professionnelle, d’une adresse IP publique fixe.

J’en déduis donc que l’IP fixe, c’est pour les pros, en toute logique je devrais donc bénéficier d’une IP dynamique, ça ne m’arrange pas mais il y a des services pour gérer ça, comme DynDNS, je pourrais m’en accommoder.

L’IP publique visible qui m’est alors attribuée par Alsatis est 92.245.140.12. Vu qu’avec 100 mégas d’upload la moindre des choses c’est d’avoir un petit serveur à la maison, je me dis que je vais ouvrir deux ou trois ports. Comme j’aime quand même un peu savoir ce que mon routeur, qui marque la frontière entre mon LAN et Internet, laisse entrer et sortir, je lance un petit scan sur ce que je pense alors être mon IP publique. Et voilà que je découvre un serveur http, un accès ssh et un serveur FTP… ce alors que je n’ai à ce moment précis ouvert aucun port et que l’interface du routeur ne présente aucune règle sur l’ouverture de ces ports… conclusion, y’a comme une couille. Il est évidemment impossible d’ouvrir des ports sur mon routeur afin de rendre un serveur joignable depuis l’extérieur. En fait je peux ouvrir tous es ports que je veux, mais cette IP publique ne pointant pas sur mon routeur, il ne faut pas que je compte accéder au moindre service hosté à la maison… En fait je soupçonne Alsatis de « crowder » plusieurs clients sur la même adresse ip publique, bref le truc très bien pour sortir, mais vachement moins bien pour tomber sur son lan quand on lance un SSH sur son IP publique.

Renseignement pris au service technique, réponse épique « le service qui s’occupe des ouvertures des ports » va me recontacter… mouais enfin si « le service qui s’occupe de l’ouverture des ports » me filait tout simplement une ip publique, ça nous épargnerait à tous des maux de tête.

Pour le moment je suis dans l’attente d’Alsatis d’une réponse à mes deux questions :
1° pourquoi j’ai pas d’IP publique à moi (mon opérateur téléphonique n’attribue pas mon numéro de téléphone à plusieurs de ses abonnés et rien ne justifie ici une telle pratique)
2° pourquoi y a t-il un routeur qui ne m’appartient pas sur mon LAN…

Une IP publique qui ne pointe pas chez moi, des routeurs « minitélisés » et un équipement ISP sur mon LAN alors qu’il n’a rien à y faire… c’est un peu space le FTTH vu d’ici.

Oups ce banc public n’était pas public

samedi 23 mai 2015 à 18:06

11fa4ce2299ea951eeb8df523cfcefaaJ’ai lu avec attention l’article de Maître Emmanuel Daoud tentant de comparer l’acte qui m’a valu condamnation avec des exemples de “la vie réelle”. Evidemment ce genre de comparaisons est forcément bancales d’un point de vue technique, même si elles tiennent parfaitement la route d’un point de vue juridique. Mais à force d’évacuer toute considération technique, on passe à côté des bases, de l’essentiel.

Dans notre cas l’essentiel, c’est la nature d’Internet, un réseau public. On le comparerait plus logiquement à un espace public, comme la rue.

Un site web, une application en ligne, sur un espace public, destiné à servir des fichiers au public, c’est donc plutôt comme un banc public dans la rue, quelque chose de bien visible, destiné à l’usage de tous qu’il faut le voir, et non une maison (dont on sait forcément qu’elle appartient à quelqu’un, ou une voiture ou encore un ordinateur).

Pour que les comparaisons de Maître Daoud soient fidèles à notre cas, il aurait fallut parler d’un banc public dans une rue. Il aurait fallu que je devine que ce banc public n’était pas public. C’est là tout le problème.

Pire… si le tribunal a considéré qu’il y avait une faille de sécurité, ce n’était pas le cas. La fonction d’un serveur web, c’est de servir des fichiers. Si on veut en restreindre l’accès, il faut une intervention humaine. La faille n’était donc pas technique mais humaine.

Comme si  on avait voulu restreindre l’accès à un banc public dans une rue on y aurait placé un panneau “propriété privée”… ou coller du barbelé autour…

Je passe sur les interprétations de la cour d’appel et de l’amalgame crétin entre authentication et permissions, je viens de l’expliquer ici… mais par pitié, comprenez une bonne fois pour toute que ce n’est pas parce que j’avoue qu’il y a une authentification sur la page d’accueil qu’il faut impérativement en déduire que tout est privé, c’est techniquement totalement absurde.

Oups ! Ce n’est pas ma voiture

Mû par la curiosité, je fouille le véhicule et trouve des santiags qui me plaisent et décide de les conserver.

Il s’agit là d’une soustraction de la chose d’autrui… un vol. Mon crime est d’avoir copié des documents publics sur des questions de santé publique qui se trouvaient dans un espace public… J’ai pris une photo de quelque chose sur un banc public qui n’était privé que dans la tête de son propriétaire, sans rien pour le signaler, au beau milieu d’une rue. Je n’ai pas été poursuivi pour contrefaçon, mais pour “vol”.

Oups ! Ce n’est pas mon ordinateur

Dans un ordinateur, il y a de fait des données à caractère personnel. ce n’était pas du tout le cas du dossier auquel j’ai accédé. En outre pour Xe fois, il a été expliqué que ces documents n’étaient PAS confidentiels comme on peut le lire ici ou là.

Oups ! Ce n’est pas ma maison

La maison est un espace fermé. Il y a des murs, des fenêtres, des portes. Il y a quelque chose qui délimite clairement l’espace public et l’espace privé. Ce n’est pas le cas d’une application web sur un réseau public quand des permissions claires ne sont pas appliquées et quand rien ne le signale.

.. Donc : oups, ce banc public n’était pas public.

D’ailleurs, imaginez que je décrète dans ma tête que l’article que vous venez de lire est privé… ça me donnerait le droit de porter plainte contre vous pour accès et maintien frauduleux à cette page ?

Oups ce banc public n’était pas public

samedi 23 mai 2015 à 18:06

11fa4ce2299ea951eeb8df523cfcefaaJ’ai lu avec attention l’article de Maître Emmanuel Daoud tentant de comparer l’acte qui m’a valu condamnation avec des exemples de « la vie réelle ». Evidemment ce genre de comparaisons est forcément bancales d’un point de vue technique, même si elles tiennent parfaitement la route d’un point de vue juridique. Mais à force d’évacuer toute considération technique, on passe à côté des bases, de l’essentiel.

Dans notre cas l’essentiel, c’est la nature d’Internet, un réseau public. On le comparerait plus logiquement à un espace public, comme la rue.

Un site web, une application en ligne, sur un espace public, destiné à servir des fichiers au public, c’est donc plutôt comme un banc public dans la rue, quelque chose de bien visible, destiné à l’usage de tous qu’il faut le voir, et non une maison (dont on sait forcément qu’elle appartient à quelqu’un, ou une voiture ou encore un ordinateur).

Pour que les comparaisons de Maître Daoud soient fidèles à notre cas, il aurait fallut parler d’un banc public dans une rue. Il aurait fallu que je devine que ce banc public n’était pas public. C’est là tout le problème.

Pire… si le tribunal a considéré qu’il y avait une faille de sécurité, ce n’était pas le cas. La fonction d’un serveur web, c’est de servir des fichiers. Si on veut en restreindre l’accès, il faut une intervention humaine. La faille n’était donc pas technique mais humaine.

Comme si  on avait voulu restreindre l’accès à un banc public dans une rue on y aurait placé un panneau « propriété privée »… ou coller du barbelé autour…

Je passe sur les interprétations de la cour d’appel et de l’amalgame crétin entre authentication et permissions, je viens de l’expliquer ici… mais par pitié, comprenez une bonne fois pour toute que ce n’est pas parce que j’avoue qu’il y a une authentification sur la page d’accueil qu’il faut impérativement en déduire que tout est privé, c’est techniquement totalement absurde.

Oups ! Ce n’est pas ma voiture

Mû par la curiosité, je fouille le véhicule et trouve des santiags qui me plaisent et décide de les conserver.

Il s’agit là d’une soustraction de la chose d’autrui… un vol. Mon crime est d’avoir copié des documents publics sur des questions de santé publique qui se trouvaient dans un espace public… J’ai pris une photo de quelque chose sur un banc public qui n’était privé que dans la tête de son propriétaire, sans rien pour le signaler, au beau milieu d’une rue. Je n’ai pas été poursuivi pour contrefaçon, mais pour « vol ».

Oups ! Ce n’est pas mon ordinateur

Dans un ordinateur, il y a de fait des données à caractère personnel. ce n’était pas du tout le cas du dossier auquel j’ai accédé. En outre pour Xe fois, il a été expliqué que ces documents n’étaient PAS confidentiels comme on peut le lire ici ou là.

Oups ! Ce n’est pas ma maison

La maison est un espace fermé. Il y a des murs, des fenêtres, des portes. Il y a quelque chose qui délimite clairement l’espace public et l’espace privé. Ce n’est pas le cas d’une application web sur un réseau public quand des permissions claires ne sont pas appliquées et quand rien ne le signale.

.. Donc : oups, ce banc public n’était pas public.

D’ailleurs, imaginez que je décrète dans ma tête que l’article que vous venez de lire est privé… ça me donnerait le droit de porter plainte contre vous pour accès et maintien frauduleux à cette page ?

Ça devient fatigant…

samedi 23 mai 2015 à 16:16

Oui, ça devient fatigant d’avoir à ré-expliquer 50 fois les mêmes choses…

NON NON ET NON
NON NON ET NON

Non, les documents de l’ANSES n’étaient pas confidentiels .. ceci est consigné dans les PV, l’ANSES n’était même pas partie civile en première instance ! Ces documents n’avaient rien de confidentiels. L’ANSES a bien cru à un piratage, mais après vérification, elle a parfaitement compris qu’il n’y avait ni piratage ni documents “confidentiels”. Il s’agissait d’études, pleines de chiffres pour la plupart, difficilement interprétable pour des non chercheurs.

Et encore NON !
Et encore NON !

Et bien non et encore non… je ne suis pas arrivé au “coeur de l’extranet”, d’ailleurs c’est quoi le coeur de l’extranet ? Pour moi le coeur de l’extranet ça aurait été la base de données, contenant mots de passes et toutes les données … mais voilà, ce n’est pas ce que je cherchais, et heureusement car j’aurais par exemple pu tomber au piff sur un répertoire /backups avec des données peut-être autrement plus sensibles…

Je suis arrivé dans un répertoire nommé xxxx/DOCS ne contenant NI DONNEES PERSONNELLES, NI FICHIERS SYSTEMES pouvant me laisser penser que je me trouvais dans un espace “sensible”… ce n’est pas comme si je m’étais trouvé par exemple ici (oui ils sont prévenus depuis plusieurs semaines, voir mois, mais je pense qu’ils s’en foutent, et puis un jour on met des documents “confidentiels” qui se retrouvent indexés par Google hein…)

Je n’étais pas dans  /DOCSCONFIDENTIELS

non… juste /DOCS

… Sans aucune indication sur le caractère privé ou confidentiel de ce répertoire.

Et depuis quand le fait d’arriver sur une page d’accueil avec un champs d’identifiant et de mot de passe a une influence automatique et absolue sur les permissions de tous les sous-répertoires ?

Je n’ai pas su expliquer au juge la différence entre authentification et permissions des sous-répertoires, il faut dire qu’ayant déjà du mal à prononcer correctement Google, tenter une explication était de toutes façons voué à l’échec… ou peut-être n’a t-il tout simplement pas voulu entendre que s’il y a bien un champs d’identifiant et de mot de passe sur Facebook et Twitter par exemple, ceci ne veut pas dire que tout ce qu’il y a sur ce site est privé ou confidentiel.

Mais là où cet article de France 3 va encore plus loin que le juge, c’est quand il affirme

Le fait d’avoir téléchargé les 8000 documents ne plaide pas en sa faveur car cela tend à prouver qu’il craignait de ne pas pouvoir accéder à nouveau à ces documents.

C’est quelque chose que j’ai maintes fois expliqué, si j’ai téléchargé ces documents, c’est pour pouvoir chercher dans leur contenu en utilisant l’indexation de ma machine.

Oui dans la tête d’un juriste qui ne sait pas ce qu’est une authentification et une permission, c’est “normal” de me condamner, oui dans la tête d’une personne qui préfère ouvrir un par un des documents pour chercher des mots dedans au lieu de lancer un cat *.doc |grep foo c’est normal de me condamner… Et après ? Et après j’ai envie de mettre ça sur le compte de l’e-gnorance, mais même ça j’ai un peu de mal.

 

 

Ça devient fatigant…

samedi 23 mai 2015 à 16:16

Oui, ça devient fatigant d’avoir à ré-expliquer 50 fois les mêmes choses…

NON NON ET NON
NON NON ET NON

Non, les documents de l’ANSES n’étaient pas confidentiels .. ceci est consigné dans les PV, l’ANSES n’était même pas partie civile en première instance ! Ces documents n’avaient rien de confidentiels. L’ANSES a bien cru à un piratage, mais après vérification, elle a parfaitement compris qu’il n’y avait ni piratage ni documents « confidentiels ». Il s’agissait d’études, pleines de chiffres pour la plupart, difficilement interprétable pour des non chercheurs.

Et encore NON !
Et encore NON !

Et bien non et encore non… je ne suis pas arrivé au « coeur de l’extranet », d’ailleurs c’est quoi le coeur de l’extranet ? Pour moi le coeur de l’extranet ça aurait été la base de données, contenant mots de passes et toutes les données … mais voilà, ce n’est pas ce que je cherchais, et heureusement car j’aurais par exemple pu tomber au piff sur un répertoire /backups avec des données peut-être autrement plus sensibles…

Je suis arrivé dans un répertoire nommé xxxx/DOCS ne contenant NI DONNEES PERSONNELLES, NI FICHIERS SYSTEMES pouvant me laisser penser que je me trouvais dans un espace « sensible »… ce n’est pas comme si je m’étais trouvé par exemple ici (oui ils sont prévenus depuis plusieurs semaines, voir mois, mais je pense qu’ils s’en foutent, et puis un jour on met des documents « confidentiels » qui se retrouvent indexés par Google hein…)

Je n’étais pas dans  /DOCSCONFIDENTIELS

non… juste /DOCS

… Sans aucune indication sur le caractère privé ou confidentiel de ce répertoire.

Et depuis quand le fait d’arriver sur une page d’accueil avec un champs d’identifiant et de mot de passe a une influence automatique et absolue sur les permissions de tous les sous-répertoires ?

Je n’ai pas su expliquer au juge la différence entre authentification et permissions des sous-répertoires, il faut dire qu’ayant déjà du mal à prononcer correctement Google, tenter une explication était de toutes façons voué à l’échec… ou peut-être n’a t-il tout simplement pas voulu entendre que s’il y a bien un champs d’identifiant et de mot de passe sur Facebook et Twitter par exemple, ceci ne veut pas dire que tout ce qu’il y a sur ce site est privé ou confidentiel.

Mais là où cet article de France 3 va encore plus loin que le juge, c’est quand il affirme

Le fait d’avoir téléchargé les 8000 documents ne plaide pas en sa faveur car cela tend à prouver qu’il craignait de ne pas pouvoir accéder à nouveau à ces documents.

C’est quelque chose que j’ai maintes fois expliqué, si j’ai téléchargé ces documents, c’est pour pouvoir chercher dans leur contenu en utilisant l’indexation de ma machine.

Oui dans la tête d’un juriste qui ne sait pas ce qu’est une authentification et une permission, c’est « normal » de me condamner, oui dans la tête d’une personne qui préfère ouvrir un par un des documents pour chercher des mots dedans au lieu de lancer un cat *.doc |grep foo c’est normal de me condamner… Et après ? Et après j’ai envie de mettre ça sur le compte de l’e-gnorance, mais même ça j’ai un peu de mal.