Des apéros géants se multiplient en France.
Dernier en date à Nantes avec pas moins de 9000 personnes selon plusieurs sources.
Ces rassemblements sont dans le collimateur de la police et du gouvernement non pas par suite d’un décès, mais ils voient là une arme redoutable pour rassembler des milliers de personnes via un simple groupe Facebook.
Dans la conjoncture actuel et la position financière Française avec son endettement, le gouvernement tremble.
L’étendue de cette “peste numérique” reste encore assez limitée pour les environnements basés sur Linux ou Mac. Hormis quelques apparitions cantonnées à des systèmes embarqués basés eux aussi sur des systèmes à base de Linux (ZDNet, Les routeurs Linux cibles d’un nouveau ver, 24 Mars 2009), les équipements de type routeurs ou autres systèmes spécialisés étant quant à eux quasiment épargnés.
Jusqu’alors, les équipements de chez CISCO étaient épargnés avec uniquement quelques études/proof-of-concepts demandant de très fortes compétences en ingénierie inverse réservés aux adeptes du développement bas niveau en langage machine. Pour ceux intéressés, il faut revenir en 2008 : Sebastian Muniz, Da IOS Rootkit, May 2008 ; avec la réponse de CISCO (CISCO, Rootkits on Cisco IOS Devices, May 2008) et la publication d’un outil (CIR, Cisco Incident Response) permettant d’analyser le contenu d’une image IOS afin de détecter d’éventuelles manipulations suspectes. Techniquement de haute voltige.
On peut raisonnablement dire que cette barrière du niveau de compétence (associé au caractère “fermé” des systèmes CISCO) était une protection naturelle.
La mise à disposition de nouvelles fonctionnalités intégrées dans les équipements CISCO serait-elle sur le point de provoquer une inflexion de cette tendance ? J’aurai tendance à dire que c’est peut-être ce qui est en train de se passer.
Le nom de ce “coupable” s’écrit en trois 3 lettres : TCL (Tool Command Language), langage vieux comme le monde (1988). Le support de ce langage TCL est intégrée dans les moutures du logiciel CISCO IOS à compter de la version 12.3(2)T. Via quelques lignes de TCL, il est désormais possible de rajouter de nouvelle fonctions pour répondre à des besoins spécifiques non disponibles en standard.
Mais le revers de la médaille, c’est que cette souplesse ouvre la porte du développement de codes malicieux sur les équipements basés sur l’IOS de CISCO.
La simplicité de mise en œuvre est telle que cette menace est à considérer avec tout le sérieux qu’il convient: Les routeurs et switchs étant des points de passage naturels de trafic réseau, ils sont des cibles particulièrement intéressantes pour un attaquant : Quoi de mieux que d’écouter à distance des communications directement à la source ? De plus, sur ces environnements pas d’antivirus ou de systèmes évolués de détection.
Par ailleurs, les recommandations décrites afin de se protéger sont assez limitées : Mise en avant de la signature numérique des programmes TCL pour en vérifier leur intégrité ; utilisation d’une version du CISCO IOS sans le support de ce langage. Mesures à priori assez complexe à mettre en place dans la vraie vie…ou du moins réservées aux environnements les plus sécurité et pour un nombre restreint d’équipements. Clairement pas ou de peu de solutions “simple” pour tous les environnements.
Je vous laisse découvrir par vous-même le papier de Manuel Humberto Santander Peláez intitulé “IOSTrojan: Who really owns your router ?” (PDF).
Le jeu du chat et de la souris continue pour The Pirate Bay et les studios de cinéma. L’an dernier, le site avait dû déménager en urgence vers l’Ukraine après que son fournisseur de bande passante suédois a été condamné à le couper de son accès à Internet en août 2009. Dès le mois d’octobre, il devait de nouveau partir, cette fois pour trouver refuge dans un ancien abri anti-atomique de l’OTAN, aux Pays-Bas.
Mais dans leur inlassable course poursuite, les studios ont obtenu cette semaine du tribunal de Hambourg une injonction particulièrement dissuasive contre CB3Rob Ltd & Co KG, qui possède le CyberBunker. La société et son gérant Sven Olaf Kamphuis ont l’interdiction de fournir un accès à Internet aux serveurs de The Pirate Bay, ou devront payer jusqu’à 250.000 euros par infraction aux droits d’auteur dont ils sont jugés co-responsables. En cas d’insolvabilité, Kamphuis pourra être condamné à passer jusqu’à deux ans en prison.
“Cette décision de fond est la première fois qu’un tribunal allemand a confirmé qu’un fournisseur de services de routage internet peut être tenu responsable de violations de droits d’auteur“, explique la MPAA dans un communiqué (.pdf). L’association qui représente les grands studios de cinéma américains indique que “le tribunal a jugé que l’on pouvait attendre raisonnablement de Cyberbunker, suite aux avertissements adressés par la MPA, qu’il bloque l’accès à The Pirate Bay“.
Le juge a estimé que la directive sur le commerce électronique, qui protège normalement les simples intermédiaires techniques, ne s’appliquait pas au cas d’espèce.
Selon TorrentFreak, l’injonction n’aurait concerné que quelques films dont les .torrents sont indexés par The Pirate Bay : The Bounty Hunter, Alice in Wonderland, Our Family Wedding, Green Zone, Repo Men et Cop Out. La plainte était déposée par Columbia Pictures, Disney Enterprises, Paramount Pictures,Twentieth Century Fox, Universal, et Warner Bros.
Pour le moment, The Pirate Bay est toujours en ligne, ainsi que les .torrents concernant ces seuls films. Les administrateurs ont toujours refusé de supprimer des .torrents sous la pression judiciaire. Il est probable qu’ils sont déjà en train de chercher un nouveau fournisseur de bande passante, en attendant leur procès en appel en Suède.
Avec Facebook la vie privée est devenue une monnaie d’échange. Et l’on paye de plus en plus en cher un service que l’on se met paradoxalement à redouter, même s’il nous paraît indispensable. Si certains se mettent à quitter Facebook pour retrouver temps libre et confidentialité, d’autres imaginent sérieusement un réseau social alternatif, décentralisé, libre, où les utilisateurs auraient le contrôle de leurs données. Un fantasme ?
Le mois dernier, l’Electronic Frontier Foundation (EFF) a publié un billet remarqué sur l’évolution des politiques de protection de la vie privée sur Facebook depuis son lancement en 2005. “Lorsque ça a commencé, c’était un espace privé de communication avec un groupe de votre choix. Rapidement, ça s’est transformé en une plate-forme où une grande partie de votre information est publique par défaut. Aujourd’hui, c’est devenu une plate-forme où vous n’avez pas d’autre choix que de rendre certaines informations publiques, et ces informations publiques peuvent être partagées par Facebook après ses sites web partenaires et utilisées pour de la publicité ciblée“, résumait l’EFF.
La notice de vie privée de 2005, qui n’a pourtant que cinq ans, semble surréaliste tant elle est éloignée de ce que pratique Facebook aujourd’hui : “Aucune information informelle que vous soumettez à Facebook ne sera disponible à un quelconque utilisateur du Site Web qui n’appartient pas à au moins un des groupes que vous avez spécifiés dans vos paramètres de vie privée“.
Pour bien prendre la mesure de l’évolution depuis cinq ans, Matt McKeon a réalisé sur son site un extraordinaire graphique qui montre année après année l’augmentation du type de données rendues publiques par défaut. McKeon prévient qu’il adore Facebook, et que ça n’est pas destiné à encourager les utilisateurs à quitter le réseau social, mais plutôt à réviser les paramètres de vie privée sur leur compte : (allez cliquer sur les graphiques sur le site de McKeon, au moins pour voir ce que l’on peut faire en HTML en se passant du Flash)
Tristan Nitot, qui signale ces graphiques sur son blog, remarque une tendance de fond. ”De plus en plus de personnes quittent Facebook (souvent des gens qui l’ont adopté en avance) au point que The Consumerist (l’équivalent américain de Que Choisir) explique à ses lecteurs comment quitter définitivement Facebook !”, note-t-il. La semaine dernière, InSites Consulting publiait une étude qui montrait que 55 % des utilisateurs de Facebook ne lui font plus confiance.
Le très influent Wired a lui-même appelé à l’émergence d’une alternative libre, et c’est justement ce que promet le projet Diaspora : un réseau social décentralisé à la manière des réseaux P2P d’échanges de fichiers, respectueux de la vie privée, et basé sur un logiciel libre sous licence aGPL.
A cet égard, il faut lire aussi l’interview passionnante d’Eben Moglen (avocat-conseil de la Free Software Foundation et président du Software Freedom Law Center), traduite et publiée le mois dernier par Framasoft. Il y décrit le projet d’une décentralisation totale des services en ligne, qui permettrait aux utilisateurs de reprendre le contrôle de leurs données avec une meilleure protection de leurs droits. Plutôt que de s’en remettre aux datacenters des Google, Facebook, Yahoo et autres Microsoft, l’idée est d’héberger chez soi une petite part du réseau social, avec ses propres données chiffrées, et celles de ses amis :
Le meilleur matériel est la SheevaPlug, un serveur ultraléger, à base de processeur ARM (basse consommation), à brancher sur une prise murale. Un appareil qui peut être vendu à tous, une fois pour toutes et pour un prix modique ; les gens le ramènent à la maison, le branchent sur une prise électrique, puis sur une prise réseau, et c’est parti. Il s’installe, se configure via votre navigateur Web, ou n’importe quelle machine disponible au logis, et puis il va chercher toutes les données de vos réseaux sociaux en ligne, et peut fermer vos comptes. Il fait de lui-même une sauvegarde chiffrée vers les prises de vos amis, si bien que chacun est sécurisé de façon optimale, disposant d’une version protégée de ses données chez ses amis.
Et il se met à faire toutes les opérations que nous estimons nécessaires avec une application de réseau social. Il lit les flux, il s’occupe du mur sur lequel écrivent vos amis – il rend toutes les fonctionnalités compatibles avec ce dont vous avez l’habitude.
Mais le journal de connexion est chez vous, et dans la société à laquelle j’appartiens au moins, nous avons encore quelques vestiges de règles qui encadrent l’accès au domicile privé : si des gens veulent accéder au journal de connexion, ils doivent avoir une commission rogatoire. En fait, dans chaque société, le domicile privé de quelqu’un est presque aussi sacré qu’il peut l’être.
Et donc, ce que je propose basiquement, c’est que nous construisions un environnement de réseau social reposant sur les logiciels libres dont nous disposons, qui sont d’ailleurs déjà les logiciels utilisés dans la partie serveur des réseaux sociaux; et que nous nous équipions d’un appareil qui inclura une distribution libre dont chacun pourra faire tout ce qu’il veut, et du matériel bon marché qui conquerra le monde entier que nous l’utilisions pour ça ou non, parce qu’il a un aspect et des fonctions tout à fait séduisantes pour son prix.
(…)
Bien entendu, nous fournirons également aux gens un service de courriels chiffrés – permettant de ne pas mettre leur courrier sur une machine de Google, mais dans leur propre maison, où il sera chiffré, sauvegardé chez tous les amis et ainsi de suite. D’ailleurs à très long terme nous pourrons commencer à ramener les courriels vers une situation où, sans être un moyen de communication privée, ils cesseront d’être des cartes postales quotidiennes aux services secrets.
Nous voudrions donc aussi frapper un grand coup pour faire avancer de façon significative les libertés fondamentales numériques, ce qui ne se fera pas sans un minimum de technicité.
Remplacer Facebook par une solution libre, décentralisée, où l’utilisateur reste maître de ses données personnelles… rêve, ou future réalité ? Seriez-vous prêt, vous, à débourser près d’une centaine d’euros pour l’une de ces SheevaPlugs ?
Quatre résidents de Second Life attaquent l’éditeur Linden Lab pour faire reconnaître leur droit de propriété sur les biens et terrains qu’ils ont acheté dans l’univers virtuel.
Avec Second Life, Linden Lab a créé une économie parallèle basée sur la vente de terrains et d’objets virtuels, et initié un véritable casse-tête juridique. Les Linden Dollars sont convertibles en véritable monnaie, et permettent aux habitants de Second Life de s’acheter des terrains pour y construire des propriétés et des commerces, qu’ils font fructifier par la vente d’affichage publicitaires ou d’équipements. Certains en ont fait un véritable business, comme cette agence qui avait acheté la ville de Paris. Mais sont-ils véritablement propriétaires ?
Pour attirer les investisseurs, Linden Lab a toujours dit aux utilisateurs qu’ils étaient propriétaires de ce qu’ils achetaient et construisaient sur Second Life. Mais le service a modifié au mois de mars ses conditions contractuelles, pour préciser la nature juridique de la “terre virtuelle” qu’il vend.
Il s’agit, selon le nouveau paragraphe 6, d’une “représentation graphique d’un monde virtuel tri-dimensionnel“, et “lorsque vous faites l’acquisition de la Terre Virtuelle, vous obtenez une licence limitée d’accès et d’utilisation de certaines fonctionnalités du service associé à la Terre Virtuelle stockée sur nos serveurs“. Il n’est donc plus question d’un droit de propriété au sens strict, mais bien d’une licence et donc d’une location révocable à tout moment, et limitée au cadre d’utilisation fixé par Linden Lab.
Une telle interprétation semble assez évidente, mais elle est contestée devant les tribunaux par quatre plaignants qui ont décidé d‘ouvrir une class action aux Etats-Unis le mois dernier. Ils s’estiment victimes d’une expropriation de la part de l’éditeur, et réclament au moins 5 millions de dollars de dommages et intérêts. Ils demandent qu’un droit de pleine propriété leur soit reconnu, ce qui serait une première en matière de biens virtuels.
Ca n’est pas la première fois que Second Life a affaire à ce type de demandes. En 2007, un avocat qui se disait propriétaire de terrains sur SL avait déjà exigé de Linden Lab 8.000 $ de dommages et intérêts après que l’éditeur lui a retiré ses titres de propriété. Linden Lab avait constaté une fraude dans leur acquisition, mais l’avocat disait que l’éditeur n’avait pas le droit de l’exproprier. L’affaire n’a finalement jamais été jusqu’aux tribunaux, ce qui n’a pas permis d’établir une jurisprudence.
Sur son blog, Calimaq analyse cette affaire du point de vue de l’équilibre entre les droits des consommateurs-contributeurs aux services en ligne, et ceux des éditeurs de services. Il constate qu’il est monnaie courante pour les services de modifier en cours de route leurs conditions d’utilisation pour s’approprier le travail des utilisateurs. Selon lui, il faudrait “non pas à garantir aux usagers un titre de propriété sur les contenus qu’ils produisent, mais faire en sorte, au contraire, que personne ne puisse s’approprier définitivement le fruit de l’intelligence collective et des interactions nées du partage et de l’échange“. Une réflexion pleine de bon sens.
Calimaq avait aussi analysé dans un autre billet passionnant les modifications faites par Second Life sur les droits relatifs aux avatars et autres créations virtuelles. Les CGU “indiquent à présent que les résidents de l’univers acceptent de se conférer les uns les autres une licence pour reproduire, diffuser, modifier et créer des œuvres dérivées à partir de tous les éléments qui apparaissent dans les espaces publics de l’univers“. Pour réserver des droits sur une création, il faut que les utilisateurs les conservent dans des espaces privés, accessibles uniquement après autorisation et donc après approbation des conditions spécifiques à leur terrain. Un renversement total de la logique traditionnelle du droit d’auteur, dont le monde “physique” aurait sans doute bien besoin de s’inspirer.
