PROJET AUTOBLOG


☠ Bluetouff's blog

Site original : ☠ Bluetouff's blog

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Ça devient fatigant…

samedi 23 mai 2015 à 16:16

Oui, ça devient fatigant d’avoir à ré-expliquer 50 fois les mêmes choses…

NON NON ET NON
NON NON ET NON

Non, les documents de l’ANSES n’étaient pas confidentiels .. ceci est consigné dans les PV, l’ANSES n’était même pas partie civile en première instance ! Ces documents n’avaient rien de confidentiels. L’ANSES a bien cru à un piratage, mais après vérification, elle a parfaitement compris qu’il n’y avait ni piratage ni documents “confidentiels”. Il s’agissait d’études, pleines de chiffres pour la plupart, difficilement interprétable pour des non chercheurs.

Et encore NON !
Et encore NON !

Et bien non et encore non… je ne suis pas arrivé au “coeur de l’extranet”, d’ailleurs c’est quoi le coeur de l’extranet ? Pour moi le coeur de l’extranet ça aurait été la base de données, contenant mots de passes et toutes les données … mais voilà, ce n’est pas ce que je cherchais, et heureusement car j’aurais par exemple pu tomber au piff sur un répertoire /backups avec des données peut-être autrement plus sensibles…

Je suis arrivé dans un répertoire nommé xxxx/DOCS ne contenant NI DONNEES PERSONNELLES, NI FICHIERS SYSTEMES pouvant me laisser penser que je me trouvais dans un espace “sensible”… ce n’est pas comme si je m’étais trouvé par exemple ici (oui ils sont prévenus depuis plusieurs semaines, voir mois, mais je pense qu’ils s’en foutent, et puis un jour on met des documents “confidentiels” qui se retrouvent indexés par Google hein…)

Je n’étais pas dans  /DOCSCONFIDENTIELS

non… juste /DOCS

… Sans aucune indication sur le caractère privé ou confidentiel de ce répertoire.

Et depuis quand le fait d’arriver sur une page d’accueil avec un champs d’identifiant et de mot de passe a une influence automatique et absolue sur les permissions de tous les sous-répertoires ?

Je n’ai pas su expliquer au juge la différence entre authentification et permissions des sous-répertoires, il faut dire qu’ayant déjà du mal à prononcer correctement Google, tenter une explication était de toutes façons voué à l’échec… ou peut-être n’a t-il tout simplement pas voulu entendre que s’il y a bien un champs d’identifiant et de mot de passe sur Facebook et Twitter par exemple, ceci ne veut pas dire que tout ce qu’il y a sur ce site est privé ou confidentiel.

Mais là où cet article de France 3 va encore plus loin que le juge, c’est quand il affirme

Le fait d’avoir téléchargé les 8000 documents ne plaide pas en sa faveur car cela tend à prouver qu’il craignait de ne pas pouvoir accéder à nouveau à ces documents.

C’est quelque chose que j’ai maintes fois expliqué, si j’ai téléchargé ces documents, c’est pour pouvoir chercher dans leur contenu en utilisant l’indexation de ma machine.

Oui dans la tête d’un juriste qui ne sait pas ce qu’est une authentification et une permission, c’est “normal” de me condamner, oui dans la tête d’une personne qui préfère ouvrir un par un des documents pour chercher des mots dedans au lieu de lancer un cat *.doc |grep foo c’est normal de me condamner… Et après ? Et après j’ai envie de mettre ça sur le compte de l’e-gnorance, mais même ça j’ai un peu de mal.

 

 

Ça devient fatigant…

samedi 23 mai 2015 à 16:16

Oui, ça devient fatigant d’avoir à ré-expliquer 50 fois les mêmes choses…

NON NON ET NON
NON NON ET NON

Non, les documents de l’ANSES n’étaient pas confidentiels .. ceci est consigné dans les PV, l’ANSES n’était même pas partie civile en première instance ! Ces documents n’avaient rien de confidentiels. L’ANSES a bien cru à un piratage, mais après vérification, elle a parfaitement compris qu’il n’y avait ni piratage ni documents « confidentiels ». Il s’agissait d’études, pleines de chiffres pour la plupart, difficilement interprétable pour des non chercheurs.

Et encore NON !
Et encore NON !

Et bien non et encore non… je ne suis pas arrivé au « coeur de l’extranet », d’ailleurs c’est quoi le coeur de l’extranet ? Pour moi le coeur de l’extranet ça aurait été la base de données, contenant mots de passes et toutes les données … mais voilà, ce n’est pas ce que je cherchais, et heureusement car j’aurais par exemple pu tomber au piff sur un répertoire /backups avec des données peut-être autrement plus sensibles…

Je suis arrivé dans un répertoire nommé xxxx/DOCS ne contenant NI DONNEES PERSONNELLES, NI FICHIERS SYSTEMES pouvant me laisser penser que je me trouvais dans un espace « sensible »… ce n’est pas comme si je m’étais trouvé par exemple ici (oui ils sont prévenus depuis plusieurs semaines, voir mois, mais je pense qu’ils s’en foutent, et puis un jour on met des documents « confidentiels » qui se retrouvent indexés par Google hein…)

Je n’étais pas dans  /DOCSCONFIDENTIELS

non… juste /DOCS

… Sans aucune indication sur le caractère privé ou confidentiel de ce répertoire.

Et depuis quand le fait d’arriver sur une page d’accueil avec un champs d’identifiant et de mot de passe a une influence automatique et absolue sur les permissions de tous les sous-répertoires ?

Je n’ai pas su expliquer au juge la différence entre authentification et permissions des sous-répertoires, il faut dire qu’ayant déjà du mal à prononcer correctement Google, tenter une explication était de toutes façons voué à l’échec… ou peut-être n’a t-il tout simplement pas voulu entendre que s’il y a bien un champs d’identifiant et de mot de passe sur Facebook et Twitter par exemple, ceci ne veut pas dire que tout ce qu’il y a sur ce site est privé ou confidentiel.

Mais là où cet article de France 3 va encore plus loin que le juge, c’est quand il affirme

Le fait d’avoir téléchargé les 8000 documents ne plaide pas en sa faveur car cela tend à prouver qu’il craignait de ne pas pouvoir accéder à nouveau à ces documents.

C’est quelque chose que j’ai maintes fois expliqué, si j’ai téléchargé ces documents, c’est pour pouvoir chercher dans leur contenu en utilisant l’indexation de ma machine.

Oui dans la tête d’un juriste qui ne sait pas ce qu’est une authentification et une permission, c’est « normal » de me condamner, oui dans la tête d’une personne qui préfère ouvrir un par un des documents pour chercher des mots dedans au lieu de lancer un cat *.doc |grep foo c’est normal de me condamner… Et après ? Et après j’ai envie de mettre ça sur le compte de l’e-gnorance, mais même ça j’ai un peu de mal.

 

 

La différence entre un #VPN et Garcimore

mardi 11 février 2014 à 14:47

Suite à ma récente condamnation par la Cour d’Appel de Paris (appel formé par le parquet suite à ma relaxe en première instance), pas mal d’articles circulent sur Internet et je vois revenir des éléments techniques parfois mal interprétés (et souvent proches du raisonnement de la cour d’appel). En plus du classique débat sur l’authentification à la racine de l’extranet, le cas assez emblématique est celui du VPN.

Un VPN est un réseau privé virtuel. Il permet de se connecter d’un point A à un point B de manière souvent chiffrée.

L’une des citations largement reprise, c’est celle ci :

Il y avait trouvé et téléchargé huit mille documents, par l’intermédiaire d’un réseau privé virtuel (VPN) vers une adresse IP située au Panama, ce qui explique que l’opération soit passée inaperçue

… Là, par exemple ce qui est en gras est un non-sens.

Les petits dessins

vpn1

Un VPN sert aussi bien à dissimuler son identité qu’il répond au besoin contraire, c’est à dire se connecter de manière sécurisée et parfaitement authentifiée, sans craindre l’interception de données par des tiers, par exemple pour se connecter à son compte bancaire ou à l’intranet de sa rédaction, quand on est un journaliste qui couvre les jeux olympiques d’hiver à Sotchi. La vocation première d’un VPN, c’est la protection de vos données personnelles et de votre identité sur Internet. Un VPN aujourd’hui devrait être une norme, proposée sans supplément par vos fournisseurs d’accès Internet.

Un internaute sans VPN, c’est ça :

ConnexionInternetNonSecure-413x550

Mythbusting

Je précise que sur la machine et le système (Debian GNU Linux) qui nous intéresse, le VPN se lance au démarrage de ma machine, l’adresse IP panaméenne m’est donc attribuée mais je peux choisir un point de sortie localisé dans un autre pays (Suisse, USA, Suède…), ou mieux si j’avais vraiment voulu brouiller les pistes, par un bridge TOR qui change mon adresse IP visible toutes les 10 minutes et spécialement dédié à renforcer l’anonymisation des connexions (mais pas de les rendre invisibles).

Si les enquêteurs sont remontés jusqu’à moi, c’est bien parce qu’ils m’avaient identifié, grâce à un tweet parfaitement public où j’appelais des journalistes à nous aider à comprendre les documents, ou peut-être justement parce que l’objet de la plainte, c’était un article sur Reflets.info… bref le VPN n’a rien à voir dans cette histoire.

Mais alors pourquoi c’est passé inaperçu ?

Tout simplement parce qu’il n’y a eu ni intrusion pour y accéder et donc justifiant de faire hurler un pare-feu, ni comportement déviant caractérisé par un téléchargement des contenus du répertoire, qui, encore une fois, ne comportait que des documents bureautiques et aucun fichier système pouvant mettre la puce à l’oreille que le repertoire n’avait pas à être public). Les octets naissent sur le papier libres et égaux en droits, et quand ils croisent le douanier du firewall de l’ANSES, ce dernier fait son travail correctement :

Accès régulier et usage régulier = rien à signaler.

Il aura fallu que l’ANSES constate un article publié sur Reflets et utilisant ces documents pour se rendre compte que ces documents, au bout du compte, c’est peut être pas normal qu’ils soient accessibles… c’est amusant car la vérification aurait par exemple pu être faite avant de porter plainte pour “piratage” non ?

Conclusion ?

Je ne suis pas Garcimore 🙁


Les Visiteurs Du Mercredi Garcimore par SUN42

La différence entre un #VPN et Garcimore

mardi 11 février 2014 à 14:47

Suite à ma récente condamnation par la Cour d’Appel de Paris (appel formé par le parquet suite à ma relaxe en première instance), pas mal d’articles circulent sur Internet et je vois revenir des éléments techniques parfois mal interprétés (et souvent proches du raisonnement de la cour d’appel). En plus du classique débat sur l’authentification à la racine de l’extranet, le cas assez emblématique est celui du VPN.

Un VPN est un réseau privé virtuel. Il permet de se connecter d’un point A à un point B de manière souvent chiffrée.

L’une des citations largement reprise, c’est celle ci :

Il y avait trouvé et téléchargé huit mille documents, par l’intermédiaire d’un réseau privé virtuel (VPN) vers une adresse IP située au Panama, ce qui explique que l’opération soit passée inaperçue

… Là, par exemple ce qui est en gras est un non-sens.

Les petits dessins

vpn1

Un VPN sert aussi bien à dissimuler son identité qu’il répond au besoin contraire, c’est à dire se connecter de manière sécurisée et parfaitement authentifiée, sans craindre l’interception de données par des tiers, par exemple pour se connecter à son compte bancaire ou à l’intranet de sa rédaction, quand on est un journaliste qui couvre les jeux olympiques d’hiver à Sotchi. La vocation première d’un VPN, c’est la protection de vos données personnelles et de votre identité sur Internet. Un VPN aujourd’hui devrait être une norme, proposée sans supplément par vos fournisseurs d’accès Internet.

Un internaute sans VPN, c’est ça :

ConnexionInternetNonSecure-413x550

Mythbusting

Je précise que sur la machine et le système (Debian GNU Linux) qui nous intéresse, le VPN se lance au démarrage de ma machine, l’adresse IP panaméenne m’est donc attribuée mais je peux choisir un point de sortie localisé dans un autre pays (Suisse, USA, Suède…), ou mieux si j’avais vraiment voulu brouiller les pistes, par un bridge TOR qui change mon adresse IP visible toutes les 10 minutes et spécialement dédié à renforcer l’anonymisation des connexions (mais pas de les rendre invisibles).

Si les enquêteurs sont remontés jusqu’à moi, c’est bien parce qu’ils m’avaient identifié, grâce à un tweet parfaitement public où j’appelais des journalistes à nous aider à comprendre les documents, ou peut-être justement parce que l’objet de la plainte, c’était un article sur Reflets.info… bref le VPN n’a rien à voir dans cette histoire.

Mais alors pourquoi c’est passé inaperçu ?

Tout simplement parce qu’il n’y a eu ni intrusion pour y accéder et donc justifiant de faire hurler un pare-feu, ni comportement déviant caractérisé par un téléchargement des contenus du répertoire, qui, encore une fois, ne comportait que des documents bureautiques et aucun fichier système pouvant mettre la puce à l’oreille que le repertoire n’avait pas à être public). Les octets naissent sur le papier libres et égaux en droits, et quand ils croisent le douanier du firewall de l’ANSES, ce dernier fait son travail correctement :

Accès régulier et usage régulier = rien à signaler.

Il aura fallu que l’ANSES constate un article publié sur Reflets et utilisant ces documents pour se rendre compte que ces documents, au bout du compte, c’est peut être pas normal qu’ils soient accessibles… c’est amusant car la vérification aurait par exemple pu être faite avant de porter plainte pour « piratage » non ?

Conclusion ?

Je ne suis pas Garcimore 🙁


Les Visiteurs Du Mercredi Garcimore par SUN42

Du délit de maintien dans un espace public

lundi 10 février 2014 à 14:00

Capture d’écran 2014-02-10 à 13.29.14Je commence à me faire à ma vie toute neuve de cybercriminel. Il faut bien comprendre que tout ça est arrivé très vite 😉
Je voulais simplement aujourd’hui faire la lumière sur les détails techniques qui ont conduit la cour d’appel à me condamner sur la notion de maintient dans un STAD.

Le répertoire de documents était sur l’url https://extranet.anses.fr/Docs En remontant l’arborescence, à la racine de l’extranet et surtout, de l’application web qui constitue le système d’information, on trouve une autentification, comme sur des millions de sites web parfaitement publics, ce n’est pas parce qu’on a une authentification en un point d’une arborescence que tout ce qui se trouve en dessous dans cette arborescence est privé, l’usage démontre le contraire. Mais j’insiste sur le terme application que j’oppose à un répertoire /Doc servi de manière brute par le serveur web Apache, sans aucune mise en forme. Si ce n’est pas fait, pour bien comprendre tout le contexte, vous pouvez vous référer à ce billet (sa lecture est souhaitable pour appréhender la suite).

Les faits :

Pour tous les fans de l’analogie de la maison de la porte et de la serrure, comprenez svp cette maison n’avait aucun mur, aucune porte ou fenêtre, pas de boite à lettres, ni même panneau “propriété privée” !

Comment irais-je tirer la conclusion que ces documents ne sont pas placés ici pour un partage volontaire au public ? Non seulement, contrairement à ce qui a été affirmé par la cour d’appel, ce répertoire est bien public et accessible au monde entier, mais en plus de ça, rien n’indique qu’ils n’ont pas à l’être. On ajoutera que le répertoire était en plus hors de gestion du système de gestion de contenus et donc des permissions naturelles de ce dernier. Pourquoi l’avoir placé ici, en dehors l’application d’extranet qui demande une authentification, sur un espace bien public et sans authentification si ce n’est pas volontaire ?

Certes, le simple rappel des faits montre que l’intéressé a d’abord bénéficié d’une faille de sécurité, qui permettait d’accéder à des espaces conçus comme confidentiels.” peut -on lire chez Libertécherie qui transcrit bien ce que me reproche la cour d’appel, sauf que… c’est factuellement faux, mais le mot est lâché : FAILLE.

J’ai fais ce que tout internaute fait sans y prêter attention chaque jour quand il surf sur des pages web. J’ai posé à un moteur de recherche une question, il m’a répondu sous forme de liens, j’ai cliqué sur un lien, le serveur m’a répondu ok voici le document. Nous allons revenir tout de suite à cette histoire de faille imaginaire.

Le mot “extranet” lui même ne qualifie pas un espace privé, il qualifie en pratique un espace de travail collaboratif,sur lequel, grâce au bon outil, on contrôle la diffusion de l’information. Le répertoire /Doc n’était manifestement pas géré par la logique du système de gestion de contenu, donc le système d’information soumis à restrictions. Il était bien publiquement partagé, hors de l’application du SI de l’extranet de l’ANSES, par un accès standard Apache qui rappelons le est une FONCTIONNALITE PAR DEFAUT de ce logiciel, sa raison d’être… et aucunement une FAILLE. Si faille il y a eu, c’est une faille humaine, et non une faille logicielle.

Concernant la nature confidentielle des documents, elle est infirmé par l’ANSES elle-même. On trouve toujours certains en ligne chez Google Docs publiés par les auteurs eux mêmes, l’ANSES a bien expliqué dans un PV que ces documents ne sont pas confidentiels. Ici c’est intéressant car la cour s’obstine à donner une importance capitale à ces documents. Si on peut comprendre la vision fantasmée que la cour peut se faire d’Internet, la vision fantasmée des travaux de recherche publique de l’ANSES, ça me semble un peu plus curieux… je trouve ça limite anxiogène.

Comment la cour en arrive t-elle à la conclusion “évidente” que cette fonctionnalité est une faille ?

il est remonté jusqu’à la racine du site pour finalement constater que pour redescendre dans les répertoires intéressants il était nécessaire de disposer d’un login et d’un mot de passe“. Peut-on lire chez Presse-Citron.

Remonter à la page d’accueil d’un site ou d’une application web… l’exploitation d’une faille ?
La cour d’appel a jugé mon intention de me maintenir dans un espace public ! C’est une première en France et probablement en Europe. En me déclarant coupable d’un délit d’intention que l’analyse des faits infirme totalement, mais en m’opposant une citation issue des PV hors de tout contexte où je confirme avoir vu une authentification à la racine du site. Oui je n’ai jamais nié qu’il y avait une authentification à la racine du site, ce que je réfute totalement, c’est la déduction que cette authentification devait forcément s’appliquer à un répertoire du serveur web ne contenant aucun fichier système, aucun document confidentiel, aucune donnée personnelle, d’une agence publique sur des questions de santé publique… Sérieusement ?

Sur le maintien frauduleux, la cour retient qu’entendu au cours de la garde à vue, Bluetouff a reconnu s’être baladé dans l’arborescence des répertoires en remontant jusqu’à la page d’accueil, où il a constaté la présence d’une authentification par login / mot de passe. Fatalitas.peut on lire chez Maitre-Eolas qui constate à juste titre le raisonnement de la cour, une fois qu’elle eu évacué toute considération de réalité technique.

Merci à tous pour toutes vos réactions.