- Truecrypt en France. En fait il faut retenir que le chiffrement c’est comme la vitesse : c’est un facteur aggravant (et non une cause).
- Les enfants n’ont pas de recul sur ce qu’ils voient à la télé. Pour mieux comprendre, voici un adulte qui n’en a pas sur un jeu vidéo : Amnesia.
- When did we become the ones we weren’t ? [Traduit par sur le blog du FDN]
- Wake up, geek culture. Time to die.
[Paranoid geek seeking queen of the shower] read more »
Archives for category: G33k T1m3
Avec Hadopi, nos chers politiques hyper compétents (en un mot) veulent considérer que l’adresse IP suffit à connaître la machine responsable de l’odieux téléchargement. Bien évidemment ça n’est qu’une farce qui ferait bien rire si ces crétins ne s’étaient essuyés les pieds sur la présomption d’innocence. Maintenant ma grand mère est responsable juridiquement de la sécurisation de son wifi et de ce wanadoo qui est encore configuré en WEP sans filtrage de MAC.
Par contre certaines choses risquent de changer avec IPv6. IPv6 est le nouveau protocole qui remplace IP (qui est en fait IPv4) doucement mais sûrement (si si, il va remplacer). Il ne change pas grand chose, il est juste l’occasion de corriger les imperfections d’IPv4. Parmi ces changements il y a l’augmentation du nombre d’IP possibles. Oui on est clairement à l’étroit, le NAT n’est qu’un contournement). Il y a d’autres choses comme le chiffrement, l’authentification et le contrôle d’intégrité ou encore la prise en compte du zéro conf.
C’est dans le zéro conf que réside mon souci. De nos jours, en IPv4, le zéro conf c’est quand on monte un réseau à l’arrache et qu’il faut que ça marche. Les PC piochent eux-mêmes dans la zone 169.254.0.0/16 et font coucou à tout le monde en espérant que les autres PC aient fait de même. Bon c’est clairement sale mais ça fonctionne. Heureusement chez les particuliers la box ADSL embarque un serveur DHCP qui permet de ne pas avoir à ce servir de tout ça. Mais le zéro conf est bien un fonctionnement nécessaire et donc un moyen plus propre a été mis dans IPv6.
Le zéro conf dans IPv6 est appelé l’autoconfiguration sans état. Un PC est capable de découvrir son réseau et de s’attribuer un IP en vérifiant qu’elle n’est pas utilisée ailleurs. Le souci bien connu est que pour faire ce tirage, il est possible qu’il soit aléatoire mais hélas pas toujours, l’idée qu’on eu certains a été de se basé sur l’adresse MAC de la carte réseau. Pour faire simple, c’est un identifiant unique. Le problème c’est que c’est le comportement par défaut. J’ai lu ici et là que non mais je l’ai bel et bien constaté.
Du coup on se retrouve avec un IP qui contient une partie significative de l’adresse MAC. Ah, il serait donc possible de faire un lien entre l’adresse IP et l’adresse MAC, donc entre l’IP et le PC ? Le rêve d’HADOPI en somme ! Donc si nos chers FAI n’implémentent pas un serveur DHCPv6 dans les box internet et que le paramétrage par défaut reste inchangé, HADOPI pourra se marrer et (enfin) faire son boulot.
Au fait, Free, qui est le seul FAI IPv6 que j’ai pu tester, n’implémente pas de DHCPv6. Le seul moyen donc de rester tranquille est de forcer la génération d’une IP basée sur un nombre aléatoire. sous windows ca serait « ipv6 -p gpu UseTemporaryAddresses yes » [via] et sous linux, un peu plus complexe car il faut aller voir dans /proc/sys/net/ipv6/conf/ [via].
J’ai enfin trouvé un titre incompréhensible pour ce post. D’ailleurs c’est bien à la hauteur de son contenu, quasi nul (bien que non dénué d’intérêt, oui je suis en forme) : C’est drôlement bien Ubiquity.
Je dirais ptet un mot en plus après un peu de vécu, voir de récolte d’avis.
Comment transférer un fichier en rebondissant sur trois serveurs ssh en chaine :
cat fichier.depart | ssh login1@server1 « ssh login2@server2 \ » ssh login3@serveur3 ‘cat >fichier.arrivee’ \ »"
L’Europe est souvent l’excuse des politiques qui veulent faire passer des mesures impopulaires. Bon et bien j’espère qu’ils vont vraiment suivre les recommandations comme ils savent si bien le faire : Europe rejects plan to criminalize file-sharing
Avec en cadeau, un ciblage :
The decision is expected to influence how France, with its strict anti-piracy polices, approaches this issue
Edit: Twingo ! J’avais raison ! Comme d’hab’ on nie et on passe en force . Après on dira que ça n’est pas de notre faute, c’est la faute à l’Europe qui voullait pas. BANDE DE CRETINS !
Edit: Et bien peut être pas… Ils n’ont pas encore compris… Ils veulent vraiment la faire passer leur procédure de flicage !
Voilà un mot bien utilisé mais qui est un non sens total.
Le mot à utiliser est « Chiffrer ». Crypter c’est valable pour Canal+ et rien d’autre. L’utiliser pour autre chose reviendrait à dire qu’on chiffre avec une clé qu’on ne connaît pas… du grand art.
Peu de choses permettent d’atteindre le niveau de satisfaction, d’accomplissement, de bonheur que de modifier trois lignes d’un code source et qu’une nouvelle fonctionnalité fasse son apparition. Tout simplement parce que le code est propre, bien conçu, … beau.
Comprend qui pourra…
Un post rapide et brute de fonderie pour parler des proxys.
Un proxy bien mis est le seul point de sortie vers Internet. On ne traitera que le proxy http(s) ici. La question est de savoir comment passer au travers.
- La chaine proxy qu’on a en face de soi, que fait-elle ?
- Antivirus : Bon la plupart du temps c’est en place. Ca ne nous gêne pas plus que ça mais bon il y a tout de même un minimum d’analyse sur la ligne et la méthode de gestion de cette analyse sera importante. Pour savoir si elle est en place, il faut tenter de télécharger un fichier eicar là-bas. Ce sont des fichiers de test d’antivirus qui ne sont pas nocifs.
- Relais HTTP : Juste de l’inspection protocolaire. Mais les méthodes http sont peut-être filtrées et certaines interdites (connect surtout, hélàs pour nous). Pour savoir si la méthode connect est utilisable (l’AV peut aussi la bloquer), il faut aller vers les sites de streaming (dailymotion, last.fm , …). On teste ici si on peut lire le flux. Si le site entier est interdit c’est qu’il y a du :
- Filtrage d’URL : Seulement certains sites sont autorisés. Facile à tester et si tu continues à lire ce post c’est peut être parce que tu en as en place.
- Relais HTTPS : S’agit-il juste d’un relais tcp 443 ou bien vraiment d’une interception SSL ? Il faut aller sur un site classique en https, par exemple bnpparibas.net ou bien fastmail.fm . On cherche un site https qui fonctionne et qui ne soit pas intercepté. Pour le savoir, il faut trouver qui a signé le certificat du site visité, si c’est verisign ou une CA connue. si le signataire du certificat est l’entreprise dans laquelle on est ou le proxy lui-même, les flux https sont interceptés… mauvaise nouvelle.
- Une fois les fonctionnalités recensées, que tenter pour passer ?
- Sans filtrage d’URLs : A partir du moment où il n’y a pas de filtrage d’URLs, il faut trouver un proxy sous forme web (puisqu’en fait, on en utilise déjà un). Il en existe de plusieurs types plus ou moins pratiques :
- Il y a celui de google qui traduit les pages en plus (et si on souhaite ne pas avoir de traduction il suffit de ne garder que la variable u dans l’URL) ou bien phpproxy .
- Franchement débarqué picidae. Même s’il a des défauts, il est peut être le plus propre pour passer à travers un proxy puisque les pages web transférées ne sont pas compréhensible par l’analyse du proxy car elles sont sous forme d’image (démonstration là-bas).
- Avec un filtrage d’URLs ça devient plus sportif. Les proxys énoncés au dessus sont souvent référencés et entrent dans une catégorie qui leur est dédiée. Il faut avouer que si celle-ci n’est pas bloquée c’est une erreur de configuration (et la fête du slip accessoirement). Si la catégorie des sites perso est autorisées il y a de fortes chances en installant l’un des proxys précédemment cités sur son serveur à soi qu’on puisse s’évader vers de verts pâturages.
- Si les proxy sont bloqués non pas parce que le site est interdit mais parce que le proxy qu’on a déployé est détecté. Dans ce cas, s’il n’y a pas d’interception https, mettre le proxy qu’on héberge en https. Par contre si on ne peut toujours passer, on va mettre les mains dans le camboui.
- Sans filtrage d’URLs : A partir du moment où il n’y a pas de filtrage d’URLs, il faut trouver un proxy sous forme web (puisqu’en fait, on en utilise déjà un). Il en existe de plusieurs types plus ou moins pratiques :
- A ce stade les solutions user-friendly ne sont pas efficaces. Et bien passons aux tunnels. Le principe d’un tunnel est de transmettre une session TCP mais une seule. Le plus pratique est de transmettre une connexion SSH donc. En suite, pour tunneliser son surf mon post précédent y a déjà répondu.
- si le proxy ne surveille que le http et que pour le https on a le droit de sortir directement sur Internet, autant mettre son serveur ssh en écoute sur le port 443 et s’y connecter le plus simplement du monde.
- Si le proxy autorise notre serveur et qu’il autorise la méthode connect, on est bon pour l’utilitaire httptunnel (un linux ou la combo windows-cygwin à chaque bout sont nécessaires).
- S’il ne l’autorise pas en http mais en https et bien on utilise un stunnel et un SSH dedans. A noter que ça correspond aux VPN SSL dont certains sont gratuits (mais que je n’ai pas testé, ils sont peut être facile à installer qui sait ?). Par exemple OpenVPN ou SSLExplorer.
Si le proxy résiste encore, et il y a des chances pour que ça soit le cas, il faut passer par autre chose. Mais ça c’est une autre histoire…
Mince une réponse aussi enflammée que la mienne. Ce post n’est pas compréhensible par qui n’aura pas lu la réponse en question et voici une tentative d’argumentation :
Je vais tenter d’être clair : un proxy, c’est utile. Il est idiot de cracher sur le rôle d’un proxy parce qu’on est pas d’accord avec la politique qu’il permet de mettre en place. Je ne mélange pas les rôles, je décris cette réponse à la con qui est de dire que puisque je n’aime pas, je jete.
Le problème du cache est quand le site est mis à jour et que le proxy ne suit pas. J’ai eu très peu d’occasion de le constater d’autant plus que certains proxy détectent la demande de mise à jour par l’utilisateur et mettent leur cache à jour en concéquence. Après tout, c’est tout de même le comportement que cherche à éviter tout proxy car c’est vraiment là qu’on les attend. Tu as le droit de râler si le cache est mal gérer. Par contre, tu m’as mal compris : Je fais une différence entre explications et approbation. J’expliquais et à aucun moment je n’approuvais. D’ailleurs c’est vraiment déplorable que certains se fassent encore avoir mais bon… y a quand même des sites web bien pourris qui ne facilitent pas la tâche.
En ce qui concerne le stade germinal d’une entreprise et bien… j’ai du mal comprendre car d’expérience si un budget n’est pas argumenté je ne me souviens pas avoir eu droit à des débauches de dépenses… j’ai du mal te comprendre.
Attaquons nous maintenant au gros morceau de la dérive totalitaro- fasho- stalino- préhistorico- bigbrotherienne de la configuration.
Pour ce qui est des entreprises qui font de mauvais choix et bien … que dire… ah je n’ai pas été clair ? C’est rageant d’être d’accord et ne pas avoir été compris. J’explicite donc : par cheffaillon je désignais les instances qui ne comprennent pas les tenants et aboutissants de leur choix et par crétin, le luser (terme que je ne connaissais pas et bien trouvé). Quand je parle de GU je parle de luser en effet car étonnamment c’est toujours le crétin qui râle le plus, celui par qui tout arrive et surtout celui qui par son comportement justifie les décisions du cheffaillon. Je souligne qu’à aucun moment je n’ai dit que le crétin et le cheffaillon devaient être des personnes différentes.
De plus, à aucun moment je n’ai approuvé la solution de bloquer les catégories non-critiques (trojans and co.). Qu’on ne me fasse pas porter le chapeau de la dérive totalitaire du bignou et puis dire que c’est la faute du service informatique… bravo. Vraiment bravo. C’est donc aussi la faute au stylo pour les PV, de la roue pour les excès de vitesse, des maths pour la bombe H. Toi qui parlais de troll…
NB : A propos de la pub pour websense, mais je ne vois pas en quoi je leur fais de la pub. Et puis puisque que ne donner qu’un exemple c’est prendre parti citons BlueCoat, SmartFilter, SurfControl, Optenet et j’en passe.
PS : Si ces échanges devaient continuer, vu que tu es de Paris, je te propose d’en débattre de vive voix dans un bar.
Suite du poste précédent où je parlais SSH ici on va parler plus proxy et ce qui tombe à point nommé quand on lit quelques posts de ci, de là, de là bas et d’ailleurs encore. Le soucis c’est que je vais tenter d’informer un peu ces GU (gentils utilisateurs ou usagers). Je vais tenter de ranger un temps les termes techniques même si ça ne va peut être pas durer. D’ailleurs pour les infos plus techniques elles viendront… bientôt.
Bon d’abord qu’est-ce que c’est que ce proxy à la con dont ils parlent. Un proxy dans le contexte des flux web dans une entreprise c’est une boiboite qui filtre ce qui passe. Elle a plusieurs fonctions et entre même dans le classique des mesures de sécurité pour protéger ce cher GU de lui même.
Que ce soit clair j’emploie GU ici avec tout le mépris possible. C’est celui dont on parle tout le temps et qui ne se sent jamais visé. C’est lui le crétin qui va sur astalavista.box.sk pour en revenir avec trent-six trojans ou bien sur le premier lien reçu dans sa boîte perso pour downloader cet utilitaire… ludique certe mais bon counter c’est pas la mort à la pause déjeuner et puis il l’a trouvé en téléchargement gratuit sur un site russe ! Que le premier qui dise que ce crétin n’existe pas se prenne un toucher rectal à la bate de base ball car ils sont légion et en plus ils se relaient.
Bon je m’enflamme un peu sans doute mais vous comprendrez maintenant qu’il faut protéger les GUs de l’entreprise. C’est la vertue première du proxy : ca n’est pas l’utilisateur qui va sur internet avec son navigateur mais le proxy qui surfe à sa place et prend tout les risques. Chaque téléchargement soigneusement réalisé et passer à la moulinette antivirus (si les k€ ont été débloqués).
L’autre grande fonctionnalité du proxy est de rentabiliser le lien Internet. Quand 300 personnes vont sur google toutes les demie-heure, on ne va pas télécharger l’image à chaque fois. Le proxy fait alors un rôle de cache (en anglais, de tampon en français). Quand 5 personnes aiment écouter Europe1 (j’ai vu) dans la société et bien non, on ne va pas télécharger Europe1 cinq fois mais une seule et le flux sera splité par le proxy. Qu’on ne me dise pas qu’il suffit d’augmenter la taille de la liaison Internet pour y arriver.
Car ce tuyau coûte cher ! On factorise donc au maximum les téléchargements mais ça ne fait pas tout et le payeur veut savoir ce qu’on y fait. Allez dire à un cheffaillon qu’il est plus sage pour lui d’apprendre le management plutôt que d’interdire la catégorie ‘jeux’ dans le proxy… Allez justifier le fait que facebook réalise 20% (je ne plaisante pas) des downloads mensuelles d’une entreprise de recherche pétrolière… Au lieu d’interdire site par site le traffic on paie pour ça une catégorisation d’URLs. Et ça se finit par : « Fillez-moi cette liste qu’on ne laisse que ce qui est utile ». Voilà comment on se retrouve avec les meetic, fessebook, myspaces à la trape.
Un soucis est que les fournisseurs de catégories d’URLs sont rarement français, parfois européens et souvent américains. La liste des catégories disponibles est étoffées en général et malgré la granularité, on se retrouve avec des classements parfois surprenant comme des blogs qui passent dans la catégorie ‘X’ et des sites fréquentables dans la catégorie ‘douteuse’. La différence de culture n’aide pas.
Mais voilà. On a commencé à scruter se qui passe sur cette connexion et les moyens de contrôle sont nombreux. Ainsi il faut savoir que si on s’identifie sous windows, chaque log du proxy peut contenir l’identifiant su surfeur. Réaliser un top ten des employers qui téléchargent le plus est un jeu d’enfant. Et de là à pointer les plus gladeurs il n’y a qu’un pas. En plus il n’ a pas que le HTTP qui soit scrutable, par exemple les proxy IM ou mail existent aussi et peuvent logger. Heureusement la CNIL veille et chaque utilisateur doit être au courant de la présence d’un proxy filtrant.
Au final on se retrouve avec un contrôle presque total sur le surfs des employés. Il ne reste qu’à bien réfléchir sur qu’autoriser et à qui. Bien sûr il est facile d’être trop répressif. Mais pour tout soucis de catégorisation veuillez vous rapprocher du chefaillons et du crétin précédemment cités.
NB : Je ne parle pas du cas de Matou qui est tombé sur un bug préhistorique. La corruption du cache d’un proxy est une attaque digne des 90′s. Oui j’ai bien dit attaque car consulter les mails des commerciaux ou du patron c’est pas cool.
NB : Dans certains cas les catégories sont mises à jour toutes les heures pour suivre les sites de malwares ou des contournement de proxy, justement.
Moteurs