PROJET AUTOBLOG


☠ Bluetouff's blog

Site original : ☠ Bluetouff's blog

⇐ retour index

Le message hilarant de l’interface de gestion des DNS chez #SFR Business Team

mercredi 20 novembre 2013 à 15:05
SFR SQLi

… Our website may be subject to SQLi

Il y a des trucs comme ça, quand on ne s’y attend pas, ça fait vraiment du bien.

Alors que j’étais en train de m’arracher les cheveux à comprendre comment changer un enregistrement A sur l’interface de gestion des DNS de SFR Business Team pour un ami (et donc à comprendre que je ne peux pas le faire moi même et qu’il faut en faire la demande pour la modique somme de 60€ HT)…

Je suis tombé alors sur l’un des messages les plus hilarants qu’il m’ait été donné de découvrir sur une interface clients. J’en ai conservé un screenshot que je partage ici avec vous (cliquez pour agrandir).

sfrbusinessteamfail

Pour les personnes qui n’ont pas compris la subtilité de ce message, SFR avertis gentiment l’utilisateur que le champs de commentaire est probablement vulnérable à des injections SQL. Donc, pour des raisons de sécurité, (comprenez la sécurité du site SFRBusinessTeam et de ses clients)… s’il vous venait à l’esprit de leur laisser un commentaire, ça serait bien d’éviter de mettre leur base de données à poil en utilisant les caractères et chaines de caractères mentionnés… Bref le genre de message que je n’avais encore jamais croisé jusque là.

sfr lulz

Chapeau la Business Team et merci pour le fou rire 😉

Update 1 : Le gag avait déjà été reporté en janvier dernier(!) par Sebsauvage <3.

Attention ce qui suit est un scoop :)

Update 2 : Bon alors pas de panique surtout, bientôt on pourra modifier nos DNS grâce à Office365 directement depuis un doc Word ou Excel !

Capture d’écran 2013-11-20 à 15.40.15

admin cat

Flattr this!

La CADA donne son accord pour la transmission des documents relatifs au coût du site web de la Fondation #Carla Bruni #Sarkozy

jeudi 14 novembre 2013 à 15:57

Image-61-300x284C’est à la vigilance de @VincentGranier que nous devons cette information. La CADA (Commission d’Accès aux Documents Administratifs) a publié sur son site web un avis favorable à la transmission des documents de ce qui semble tout à fait être les documents relatifs à l’élaboration et la maintenance du site web de la fondation Carla Bruni Sarkozy. Si le demandeur comme le site web et la fondation ne sont pas explicitement nommés, il semble tout de même faire peu de doutes qu’il s’agisse bien du site de la fondation Carla-Bruni Sarkozy qui avait cet été défrayé la chronique et dont je vous avais largement parlé sur Rue89 comme ici ou encore .

Pour mémoire, le site web de la fondation aurait été largement financé par la Présidence de la République entre 2007 et 2012. L’examen technique du site faisait froid dans le dos et nous étions nombreux à ne pas nous expliquer un tel coût pour le contribuable correspondant à deux rubriques qui à en croire les explications de la fondation, n’existeraient même plus ! La Cour des Comptes avait confirmé ces informations.

cdc

Ce nouvel épisode devrait donc lever le voile sur les mystères qui ont conduit la Présidence de la République à financer une partie d’un des WordPress les plus chers du monde.

Je vous copie donc ici l’avis complet de la CADA :

Présidence de la République

Avis 20133473 – Séance du 10/10/2013

Monsieur X a saisi la commission d’accès aux documents administratifs, par courrier enregistré à son secrétariat le 10 septembre 2013, à la suite du refus opposé par le secrétaire général de la Présidence de la République à sa demande de communication des documents suivants, relatifs à la création, l’entretien, la sécurité et le développement du site www.X.org, pour les années 2007 à 2012 :
1) la définition des besoins par la présidence, les organismes consultés avant le choix définitif des prestataires pour ce site et les avis d’appel d’offres ;
2) les équivalents temps plein des personnels de la présidence affectés à la réalisation et la tenue de ce site ;
3) les contrats de prestations et fournitures commandés et financés par la Présidence de la République ;
4) les factures correspondant à ces prestations ;
5) les prestations produites et les actes de « service fait » ;
6) les financements extérieurs de ce site, tels ceux en provenance de la fondation X-X.

La commission estime tout d’abord que, s’ils existent, les documents produits ou reçus par la Présidence de la République qui se rapportent au financement du site internet de la fondation X-X par des fonds publics, à des prestations financées sur fonds publics ou à des contrats passés par la Présidence de la République doivent être regardés comme se rapportant aux missions dévolues à l’Etat dans l’exercice de sa mission de service public au sens de l’article 1er de la loi du 17 juillet 1978 et présentent de ce fait le caractère de documents administratifs, sujets au droit d’accès prévu par l’article 2 de cette loi (cf jugement du tribunal administratif de Paris, 17 février 2012, n° 0920763). Il en irait notamment ainsi des documents mentionnés au point 6) s’ils existent et se rapportent à des financements privés qui auraient abondé le budget de l’Etat. Les documents mentionnés au point 6 qui se rapporteraient seulement au financement privé d’un organisme de droit privé tel que la fondation en cause devraient, en revanche, être regardés comme des documents privés dépourvus de caractère administratif au sens de la loi du 17 juillet 1978.

La commission considère ensuite qu’eu égard à l’objet des documents sollicités, leur communication, s’ils existent, ne paraît pas susceptible de porter atteinte à l’un des intérêts protégés par l’article 6 de la même loi, sauf en ce qui concerne les éventuelles mentions dont la communication porterait atteinte au secret en matière commerciale et industrielle et que pourraient comporter les documents correspondant aux points 3 à 5.

La commission estime donc, sous cette réserve, que les documents sollicités, s’ils existent, sont communicables à toute personne qui en fait la demande.

La commission précise que, conformément au troisième alinéa de l’article 2 de la loi du 17 juillet 1978, le dépôt aux archives publiques des documents sollicités qui sont communicables ne fait pas obstacle au droit à communication à tout moment de ces documents. Seuls les documents qui, compte tenu des mentions relevant du secret en matière commerciale et industrielle qu’ils comporteraient, ne seraient communicables à toute personne qui le demande qu’à l’expiration du délai de vingt-cinq ans fixé au a du 1° du I de l’article L. 213-2 du code du patrimoine ne pourraient être communiqués au demandeur qu’après délivrance de l’autorisation de déroger à ce délai prévue à l’article L. 213-3 du même code, si l’intérêt qui s’attacherait à une telle consultation ne conduisait pas à porter une atteinte excessive à ce secret. S’agissant de documents d’archives publiques émanant du Président de la République et dont le versement a été assorti de la signature du protocole prévu à l’article L. 213-4, cette autorisation de déroger au délai prévu à l’article L. 213-2 nécessiterait l’accord du signataire du protocole. Aux termes mêmes du premier alinéa de l’article L. 213-4, ce protocole ne s’applique pas aux documents qui, compte tenu des délais fixés à l’article L. 213-2, sont déjà communicables à toute personne qui le demande, et l’accord du signataire du protocole n’est pas requis pour leur communication.

La commission émet donc un avis favorable à la demande, sous les réserves précisées plus haut. Elle comprend de la réponse que lui a faite la directrice du cabinet du Président de la République que les documents sollicités ne sont pas détenus par ses services mais, s’ils existent, n’ont pu qu’être inclus dans le versement aux archives des documents émanant de l’ancien Président de la République. La commission l’invite donc, conformément au quatrième alinéa de l’article 2 de la loi du 17 juillet 1978, à transmettre la demande, accompagnée du présent avis, au service d’archives susceptible de détenir ces documents. »

flattr this!

Ton Internet est plus souverain que le mien ? Mon cul !

mercredi 13 novembre 2013 à 20:20
internet

Avez-vous confiance en chacun de ces points ?

Assez régulièrement, de manière directe ou indirecte, personnelle ou impersonnelle, j’ai le droit au couplet Google vs privacy. Ce n’est d’ailleurs pas comme si je n’avais jamais abordé la question, comme si je ne m’étais pas moi même questionné sur le bien fondé d’utiliser tel ou tel service pour tel ou tel usage. Derrière Google qui motive les interrogations de certains, se cache souvent notre propre incurie en matière de nouvelles technologies. On peut retourner le problème dans tous les sens et penser qu’on détient la vérité parce qu’on utilise tel ou tel outil, mais Internet est là pour nous rappeler qu’au final, nous sommes nous même un maillon d’une chaine que l’on voudrait croire de confiance.

Si je devais définir Internet aujourd’hui (ce ne sera surement plus le cas demain), je dirais que c’est ce qui part de vos doigts et qui s’affiche sur mon écran. Ce que je lis, ce par quoi je communique, l’intelligence comme l’outil sont fournis par tout ce que je ne maitrise pas. Internet est donc par définition pour moi « ce que je ne peux pas maîtriser ». Ce qui me conforte dans cette définition que je me fais d’Internet, c’est que je croise régulièrement des gens qui m’expliquent qu’utiliser tel ou tel service, quand on s’appelle Bluetouff, ou Reflets, c’est incohérent, paradoxal, stupide, hypocrite… En général, les personnes qui m’adressent ce genre de remarques ne le font pas par le biais d’un pigeon voyageur, ni même d’un mail sur-chiffré, ils le font sur un réseau bien public, contrôlé par une entreprise américaine dont une bonne partie de l’infrastructure se trouve hébergée chez… Google.

La question du contexte, que je martèle depuis quelques années est donc largement éludée. Ce n’est pas forcément un « troll », mais le reflet brut de notre méconnaissance d’autrui. Combien sommes nous à opiner du chef avant de cliquer « j’accepte de me faire baiser la gueule en gobant toutes vos conneries sur la protection de ma vie privée tellement elles sont bien rédigées par un putain d’avocat qui déchire sa mère ? »

La question de la souveraineté d’un service que l’on utilise sur Internet est une connerie sans borne. Quand je tape le mot souverain dans Google images, voici ce que l’intelligence mondiale me répond… voyez y un signe… ou pas. Moi ce que j’y vois, c’est l’illustration de l’interdépendance la plus forte qui soit de nos jours. Il n’y a rien de plus censurable, de moins sécurisé, de moins résilient (yes comment j’ai bien réussi à le placer celui là), de moins quantique, de moins hipster… et de moins hypocrite… qu’un service souverain. Vous m’objecterez quoi ? Qu’un fournisseur d’accès souverain c’est souverainitude absolue ? … oui probablement… enfin sur son LAN.

Les tuyaux comme l’intelligence qui acheminent vos informations d’un bout à l’autre de la planète sont tout sauf souverains, c’est pour ça qu’on les voudrait neutres. Vous pourrez stocker vos données dans un cloud quantique souverain, quand ça bouchonnera entre l’AS de Free et celui de votre cloud souverain, vous passerez probablement par un routeur chinois pas souverain, par un câble anglais pas souverain, par une appliance allemande pas souveraine… le tout envoyé depuis une machine dont le seul truc souverain que vous pourrez revendiquer sera le taux de TVA applicable sur la facture papier de la FNAC. Notez que je vous épargne l’aspect business du machin souverain filiale d’un fond de pension américain.

La défense de nos droits à la vie privée ne passe pas par Internet mais par les urnes… mais que nous reste t-il quand ces urnes nous mentent ? Internet n’est que la première banderole mondiale, à nous d’y inscrire un truc intelligent, à nous de croire qu’elle pourra être lue par tous aux quatre coins de la planète, certifiée par le cachet x509 d’un tiers de confiance.

flattr this!

Sans polémique… aucune

mardi 12 novembre 2013 à 01:34

sidHier nous apprenions le décès de Sid, Cédric Blancher. Talentueux hacker, figure incontournable de la sécurité informatique, blogueur non moins talentueux, et avant tout, un personnage attachant. Cédric a trouvé la mort à 37 ans… un saut en parachute qui a mal tourné.

La pudeur aurait voulu que sa mémoire soit saluée dignement, pour sa famille, pour ses proches, pour toutes les personnes qui l’ont croisé et apprécié son accessibilité, son ouverture, ses contributions aux communautés de hackers. Mais un journal en a décidé autrement. Un journaliste a jugé intelligent d’aller interviewer le président de la ligue de Picardie de parachutisme, ce dernier tient des propos qui peuvent nous paraitre, à nous qui connaissions Cédric, parfaitement déplacés dans ce contexte douloureux.

Se servir de cette tragédie pour servir un tel article est indigne de la part d’un média. Sans polémique aucune, je m’en tiendrai à ces quelques mots, pour ne pas ajouter à la douleur, la colère.

A bientôt Sid.

flattr this!

La #NSA surveillerait #Alcatel, l’un de ses fournisseurs… sans blague ?

mardi 22 octobre 2013 à 12:59

obama-big-brotherLe Monde nous a hier gratifié de nouvelles révélations sur les programmes d’interception et de surveillance des services américains. Ces dernières révélations ont fait du bruit, poussant Laurent Fabius à convoquer dans l’urgence l’ambassadeur des Etats-Unis en France, tout particulièrement pour demander à ce dernier de s’expliquer sur l’espionnage dont serait les cibles deux joyaux technologiques français :

Si l’espionnage de Wanadoo peut sembler « curieux » de prime abord, il faut simplement se remémorer quelques éléments de contexte.

Aussi pour toutes ces raisons et certainement d’autres comme celles qui lient contractuellement Orange à de gros autres opérateurs mondiaux, c’est une proie plutôt sympa quand on s’appelle la NSA.

Passons maintenant au cas Alcatel. Alcatel Lucent est une entreprise franco américaine et surtout, en 2010, l’un des principaux équipementiers déployant des routeurs de services chez les opérateurs US (auxquels la NSA accède dans le cadre du programme PRISM). Le renforcement des lois exerçant l’emprise des services secrets américains sur les infrastructures des fournisseurs d’accès à Internet aux USA ne leur laisse pas tellement le choix, il faut déployer de puissants systèmes embarquant le nécessaire pour la collecte de données. Et quoi de mieux qu’un bon gros routeur de service pouvant intercepter le contenu des communications (grâce au Deep Packet Inspection) sur des débits relativement importants ?

En 2010, Alcatel, c’est un peu l’arme ultime anti hackers chinois, tout comme une poignée d’entreprises américaines (Narus, Cisco Systems, Juniper…) . Les USA sont alors en pleine cyber gueguerre sur deux fronts distincts : le front chinois avec Aurora, le front iranien avec le déploiement de Stuxnet dont on commence déjà à l’époque à perdre le contrôle.

Alcatel présente un autre avantage quand on veut par exemple écouter Orange et nombre des fournisseurs d’accès avec lequel l’opérateur travaille directement. Alcatel et Orange ne sont d’ailleurs pas non plus étrangers à la technologie xDSL, l’une des plus répandue dans le monde. On ne vas donc pas reprocher aux américains de s’intéresser à une technologie française pouvant avantageusement remplacer leur réseau câblé tout moisi de l’époque.

C’est donc avec une paranoia qui n’est pas exclusivement due à la traque aux barbus jihadistes que la NSA opère ses écoutes. En fait, avec Alcatel, elle opère avant tout un contrôle sur les équipements qu’elle utilise elle-même, à savoir des routeurs de services Alcatel 7750 : 7750_SR_Portfolio_R10_EN_Datasheet (PDF)

7750_largeEn 2010, les plus gros clients d’Alcatel pour cette gamme sont américains et canadiens. Il gèrent déjà du DPI (que l’on appelle alors du H-QoS, pour Hierarchical Quality of Service) à raison de  100 Gb/s par puce… et il y a jusqu’à 4 puces en fonction des configurations sur ces modèles. Déployés au coeur de réseau chez les opérateurs ils permettent aussi bien de facturer des services IP que d’intercepter à la volée des communications IP. Faites une recherche des termes « lawful interception » sur ce PDF : 9301810201_V1_7750 SR OS OAM and Diagnostics Guide 6.1r1.

Alcatel et Orange intéressent donc la NSA, ok c’est un fait. Nous en avons naturellement beaucoup parlé et ceci indigne à juste titre la France, alliée indéfectible des USA. Mais peut-il réellement en être autrement pour ces deux entreprises qui déploient à travers le monde leurs câbles sous-marins, autoroutes de nos échanges numériques, et dorsales d’interception privilégiées de tous les services de renseignements de la planète ?

le-Raymond-Croze

Le Raymond Croze, un navire câblier de la flotte d’Orange Marine

Si la NSA surveille Alcatel, il y a fort à parier qu’elle surveille également des entreprises comme Amesys ou surtout Qosmos, dont on retrouve la technologie chez des équipementiers américains et qui est précurseur dans les technologies d’inspection en profondeur des paquets (DPI).

Et puis posons clairement la question… Qosmos marque un intérêt prononcé pour la détection de protocoles et la reconnaissance de signatures émanant d’applications en ligne d’origine chinoise. A t-elle développé ceci pour ses propres besoins ou a t-elle un client qui a ses grandes oreilles rivées sur la Chine ?

La menace terroriste est très loin d’être la seule chose qui intéresse le monde du renseignement aux USA. On ne peut que regretter de l’apprendre à nos dépends, de manière aussi brutale, ou se consoler en se disant que la France, elle aussi, profite des informations collectées par les services américains qu’elle échange contre ses propres informations.

Mais que Laurent Fabius ne s’inquiète pas, nul besoin de convoquer la diplomatie américaine et nous jeter de la poudre aux yeux, puisque je vous parle ici de matériel grand public et de méthodes d’interception grand public comme il le dit lui même (enfin sous la bienveillante égide d’un nègre de la Direction du Renseignement militaire qui avait déjà fait déblatérer les mêmes âneries à Alain Juppé) quand la France vend un Eagle au Maroc qui ne manquera surement pas d’idées pour en faire un usage en parfaite adéquation avec les valeurs de notre république.

Alors Alcatel ? … Entre nous, ça vous fait quoi d’être vous mêmes les pseudos victimes de vos propres équipements ?

flattr this!