Yesterday it was revealed that, despite her calls for tougher anti-piracy legislation, Lily Allen herself created illicit mixtapes full of copyrighted music and made them available to the public. Today, after having rationalized why it is okay for her to pirate music, she killed her pro-copyright blog because “the abuse was getting too much.”
Se justifier en disant qu'elle a fait ça avant que ses revenus ne dépendent de l'industrie musicale est un peu débile de sa part, dans la mesure où plus récemment que ça, ce mois-ci en fait, elle était encore à pomper du contenu ne lui appartenant pas.
Comme dit dans l'article, il y a 5 ans, elle n'était guère différente des gens qui téléchargent "illégalement" de la musique de nos jours.
J'imagine que les gens qui lisent ce blog savent que Zataz est en grand danger. (c'est une manière de reprendre sa phrase disant qu'il en a "plein le cul"). On peut ne carrément pas aimer zataz, il n'empêche que son histoire est quand même pas super amusante pour lui.
On pourrait se demander comment se serait déroulé un procès opposant la société accusatrice, à un client mécontent de voir ses données personnelles accessibles sur Internet. Dans mes souvenirs, la société peut effectivement être poursuivie pour non sécurisation de données personnelles (la CNIL est là pour ça après tout). Puis il y a quelques années, Kitetoa -vs- TATI avait donné un grand coup de pied là dedans.
Revenons à Zataz. Un des bugs de cette affaire, c'est qu'on reproche à Damien Bancal d'avoir hacké le système, et d'avoir utilisé un moteur de recherche particulier pour ça. Heu, soit. Mais quel moteur ? Parce que Google peut très bien servir à trouver des données sensibles sur internet. Le site de Johnny Long en est la preuve. Des moteurs de recherche FTP existent aussi.
Si maintenant il suffit d'utiliser Google pour être poursuivi et accusé de "hacking", on risque de ne plus trop avancer dans notre chère société. Bon, ensuite les exemples donnés sur le site de Johnny nécessitent de faire des recherches avec des mots clés bien précis. Mais il peut très bien arriver que des données se retrouvent sur internet alors qu'elles ne le devraient pas et/ou qu'elles soient indexées par un moteur de recherche alors qu'elles ne le devraient pas (ensuite, ceux pour qui sécuriser ces données consiste à avoir un robots.txt empechant les moteurs de les référencer, je crois que même Darwin ne les avait pas prévus dans sa théorie de l'évolution)
Un autre truc intéressant dans cette affaire (et je crois que c'est surtout ça l'élément central), c'est la mauvaise foi de la société. Dans une des ordonances de référé (disponible sur internet), on peut lire le passage suivant:
Elle conteste le fait que la simple utilisation d’un compte d’utilisateur "anonymous" a pu être utilisé pour accéder au serveur, puisque celui-ci a su écarter un grand nombre de tentative d’accès par ce moyen, et soutient que l’analyse des fichiers "logs" révèle que d’autres manipulations que la simple utilisation du moteur cité ont été nécessaires ; elle ne veut pour preuve le fait qu’une tentative de cet ordre ayant échoué le 28 septembre 2008, c’est par l’utilisation du mot de passe correspondant à l’adresse électronique du navigateur que le premier accès frauduleux a été possible le 29 septembre.
Heu ok. Alors on me reprochera peut-être mon parcours littéraire, et le fait que j'aime parfois un peu jouer sur les mots, mais je vais quand même me lancer, on sait jamais, des gens pourraient être d'accord avec mon interprétation (et on ira monter une secte):
- il y avait bien un accès "anonymous", puisque celui ci a déjà, par le passé, déjoué des tentatives d'accès.
Ouais, cool. Le truc c'est que je ne vois absolument pas comment il a pu déjouer des tentatives d'accès. On sait qu'on parle de ftp, vu que c'est ce serveur ftp contenant des données sensibles qui est au centre de ce bordel (cf. ordonance citée ci dessus). Lisons donc la RFC dédiée au "FTP Anonyme" (anonymous ftp, en anglais):
Traditionally, this special anonymous user account accepts any string as a password, although it is common to use either the password
"guest" or one's electronic mail (e-mail) address. Some archive sites now explicitly ask for the user's e-mail address and will not allow login with the "guest" password. Providing an e-mail address
is a courtesy that allows archive site operators to get some idea of
who is using their services.
Bon, donc en gros, n'importe quelle chaine de caractères (string) peut faire office de mot de passe pur faire du ftp anonyme, mais certains serveurs peuvent refuser la connexion anonyme si le mot de passe est "guest". Bon, pour ce détail de "guest" je ne connaissais pas, je l'avoue. Quand je fais du ftp anonyme, je mets un mot de passe bidon en général, "a" dans cet exemple:
Connected to ftp.ig-iit.com.
220 (vsFTPd 2.1.0)
Name (ftp.epitech.net:meik): anonymous
331 Please specify the password.
Password: 230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
Ok on voit pas que je tape le mot de passe "a", mais vous n'avez qu'à me croire, ou faire le test vous mêmes :p
Un autre point à soulever, c'est que le moteur de recherche qui a indexé le contenu du serveur ftp a du laisser des traces quelque part dans les logs de connexion. Et au passage, on apprend que ne pas utiliser google est un comportement déviant:
S’appuyant ensuite sur un rapport complémentaire en date du 13 janvier 2009 de l’expert, elle fait valoir que le moteur de recherche évoqué n’est pas un moteur "grand public", et relève que Damien B. prétend n’avoir utilisé le navigateur internet qu’après utilisation de ce moteur professionnel, caractérisant la réalisation préalable d’actes préparatoires à la recherche délibérée de failles de sécurité, et à son sens le caractère frauduleux de l’accès.
Eh ouais. Si vous n'utilisez pas Google ou Yahoo, vous êtes forcément un gros hacker. Pensez-donc, si archie était toujours utilisé (qui l'utilise encore, sérieusement ?), on vous enverrait bouffer des oranges à Fleury-Merogis.
Elle réfute au total la prétention suivant laquelle le serveur aurait été d’accès totalement libre, et les données rendues disponibles grâce à un simple clic de souris, et soutient que la remise en ligne de l’article ne saurait être autorisée.
C'est assez ambigu tout ça. Mais en fait ça nous mène au vrai problème: la mauvaise foi des plaignants. Ils soutiennent qu'un accès FTP anonyme ne peut pas permettre un accès à leur serveur, tel que reproché. Il se trouve que des documentations sur des standards de l'informatique depuis 40 ans expliquent en toutes lettres que non, un accès FTP anonyme permet bien ce type d'accès. Mais allez expliquer ça à un juge...après tout, "anonymous" a bien besoin d'un mot de passe, même si celui ci peut être n'importe quel mot. Donc de ce point de vue là, pour un juge, c'est peut-être un peu flou.
Reste le problème du moteur de recherche "pas grand public". On considère quand, qu'un moteur de recherche n'est pas grand public ? Et quel aurait été l'argument si le fichier avait été référencé par Google, et trouvé via une des "recettes" de Johnny Long ? Parce que Google est clairement LE moteur de recherche grand public.
Finalement, quand je vois que la mauvaise foi l'emporte sur la réalité, je me demande comment faire confiance à la justice.
Heureusement, voici cette video:
Ma curiosité m'a poussé sur le site du "ministère de la culture et de la communication", et j'ai pu remarquer quelques trucs amusants (non, rassurez vous, rien d'illégal ici, juste un site extrèmement mal fait et pas totalement à jour). Je précise que tout cela est constaté avec Firefox. ET Google Chrome (dev-build) Je n'ai pas vérifié avec Internet Explorer, je ne l'ai pas sous la main, je suis sous Linux. Alors on me dira peut-être que c'est à cause des logiciels libres, ou parce que je n'ai pas le parefeu offert par OpenOffice.
- Je me rends sur http://www.culture.gouv.fr et je souhaite voir les dossiers de presse (on sait jamais, ils sont remplis de LULZ). Je clique donc sur "Espace presse" dans le menu de gauche qui me mène à la bonne page. Jusque là, tout va bien. Je souhaite ensuite voir les dossiers thématiques: je clique donc sur "Dossiers thématiques". Là encore, la bonne page s'ouvre. Alors je vous entends d'ici, et vous vous demandez là où je veux en venir. Supposons que je veuille retourner sur "espace presse", je re-clique donc dessus. Et là, c'est le drame: on reste sur "dossiers thématiques".
Premier FAIL.
- Maintenant, je clique sur "Développement culturel", et là le site part totalement en couille:
Second FAIL.
- Je me rends donc sur la page "contact" du bas de page, parce que je me sens obligé de faire remonter cette information capitale, y compris à monsieur le ministre, Frédéric Mitterand. Et là, erreur fatale encore une fois:
Si vous regardez le titre de la fenêtre Firefox (le truc entre les balises TITLE si vous préférez), vous constaterez qu'il y a marqué: "Ecrire à Madame Albanel, Ministre de la Culture et de la Communication - 2008"; poste que cette Madame Albanel n'occupe plus depuis la fin juin 2009, pour être remplacée par Monsieur Frederic Mitterand.