21
mars
'19

Et pourquoi pas une vidéo ?

Publié le 21 mars 2019

Je me suis lancé un défi à la noix, en janvier: celui de réaliser une vidéo (ou une série de vidéos, qui sait) traitant de hacking au sens large, entièrement réalisée à partir de logiciels libres et de contenu libre de droit. Juste comme ça, pour sortir de ma zone de confort, parce que pourquoi pas, après tout. Je n'ai aucune intention de devenir "vidéaste" sur Youtube, ni de battre PewDiePie. Encore moins de gagner ma vie en faisant cela. Ce billet de blog retrace ainsi la genèse de ce projet, et comment j'ai réussi à faire une petite vidéo (et à quel prix).

C'est de la faute à Peertube

Début 2019, je décidais de retourner voir ce que devenait le projet Peertube initié par Framasoft dans sa volonté de dégoogliser Internet. Et j'ai été agréablement surpris: les vidéos étaient fluides, les contenus variés, et l'interface plutôt ergonomique ! Du coup, je suis tombé sur quelques vidéos qui m'ont intrigué, et de fil en aiguille j'ai reproduit ce qu'il m'arrive de temps en temps sur Youtube: je suis resté environ 2 heures à passer de vidéo en vidéo, découvrant des facettes insoupçonnées de l'Internet, du DIY et de certains vidéastes.

Et c'est à cet instant précis, à deux heures du matin devant mon écran, que je menu suis dit que ça serait intéressant de faire une série de vidéos traitant de DIY, de hacking, de coding, bref de divers sujets que je traite habituellement sur le blog, mais sur un autre format. Cela peut être plus intéressant, amener un peu plus de vie et pourquoi pas montrer plus en détail certaines réalisations là où les photos sont limitées.

Plus j'y pensais, plus l'idée me séduisait. J'avais déjà touché à des logiciels de montage vidéo comme KDEnlive, je connaissais les bases disons dans ce domaine, mais de là à faire une vraie vidéo ... Sans parler du fait que je n'aime pas me filmer et encore moins entendre ma voix (ce qui explique que j'ai horreur de regarder les vidéos de mes prestations en conférence).

Ah, et tant qu'à publier une vidéo sur une instance Peertube, autant qu'elle soit réalisée entièrement à l'aide de logiciels libres et de contenu libre de droits. Car bon, il s'agirait d'anticiper tout de même les problèmes futurs que posera l'article 13 de la directive Copyright, sait-on jamais.

Le choix des logiciels

Ayant déjà réalisé du montage vidéo sous Linux avec KDEnlive, je savais au moins une chose: ce logiciel ne fait que planter et il est laborieux de mener un projet à bien sans expérimenter un ou deux plantages bien sentis, avec perte du travail en cours à la clef. C'est bien simple, quasimment tous les tutoriaux sur KDEnlive indiquent d'abuser du CTL-S pour être sûr de ne rien perdre.

J'avais déjà cherché en 2018 un autre logiciel de montage (merci Twitter):

Et l'on m'avait aiguillé sur Blender. Quoi ? Blender ? Mais c'est pour faire des images ou animations en 3D, me disais-je naïvement. En effet, mais il intègre aussi un Video Sequence Editor, autrement dit un outil de montage assez puissant car il permet de mixer des séquences 3D générées à des prises de vues réelles par exemple comme le montre ce petit tutorial expliquant la base du masquage avec Blender:

Après quelques tests, il me fut évident que Blender pouvait faire l'affaire en ce qui concerne l'édition vidéo. Il restait ensuite à trouver un logiciel pour réaliser des animations 2D, notamment pour le pseudo-générique et les titres. Là encore l'open-source est venu à la rescousse, avec Synfig. Cet outil permet de réaliser des dessins animés, mais aussi des animations en 2D à partir d'objets vectoriels (et donc compatible SVG). Avec du recul, cette idée était complètement débile, Blender étant tout à fait capable de faire cela (et même largement plus !). J'ai appris par la suite à manipuler un peu mieux Blender pour faire ce genre d'effet, et c'est juste surpuissant.

Et enfin, j'ai opté pour Audacity pour les enregistrements de voix et LMMS pour la composition musicale. Oui, rappelez-vous, je vous ai dit que je voulais avoir du contenu libre de droits. Et quoi de plus simple que de faire soi-même sa musique ? Zone de confort, me dites-vous ? En vérité, je suis une bille en musique. Je ne prétends pas avoir l'oreille musicale, et encore moins l'oreille absolue, mais j'avoue que pour le coup c'était certainement le plus grand challenge.

(Bon par contre j'ai utilisé une image d'enfants qui elle n'est pas libre de droits, c'est mal, je l'avoue, mais je ne pouvais décemment pas mettre une photo d'un de mes minis-moi alors j'ai préféré mettre ceux des autres)

Quid du matériel ?

Je ne suis pas vidéaste, et sais pertinemment que l'on ne s'improvise pas vidéaste comme cela (quoiqu'en dise Youtube). Aussi, j'ai pu m'appuyer sur du matériel abordable pour la réalisation de cette vidéo, comme par exemple mon micro USB Bird UM1 que j'avais initialement acheté pour éviter les galères de son dans les podcasts auxquels j'ai participé (coucou NoLimitSecu), ou encore mon smartphone Huawei Mate 20 lite (avec des portes dérobées dedans) pour la prise de vue. J'ai tout de même investi dans un GorillaPod, histoire de pouvoir filmer les mains libres.

Enfin, j'ai pu réinvestir les sommes mirobolantes que j'ai gagné en faisant du Bug Bounty dans un clavier MIDI d'entrée de gamme, ce qui est quand même plus sympa pour jouer que le clavier de mon ordinateur. Prends ça, Freddy Mercury.

Clavier MIDI USB AKAI LPK25

Dirty Little Hacks, l'épisode pilote

Réaliser les vidéos m'aura pris plusieurs soirées et après-midi (sans parler des Gibi-octets de stockage que ça requiert), tandis que l'enregistrement des voice over aura été la chose la plus laborieuse que j'ai faite. Je trouve toujours le rendu pas top de ce côté là, mais c'est certainement parce que je lis un peu trop au lieu d'essayer d'expliquer naturellement. Croyez-le ou pas, j'ai eu le trac avant d'enregistrer ces séquences audio. Comme un con devant mon micro d'apprenti Youtubeur, à bégayer et bafouiller. Non, ce n'a pas été simple.

Cette première vidéo, un épisode pilote d'une série que j'ai intitulé Dirty Little Hacks, est un pseudo-tutoriel sur la réalisation d'un porte-clé imprimé en 3D à partir d'un dessin. "Pseudo-tutoriel" car je dévoile les différentes étapes sans m'attarder sur les subtilités des outils (leurs menus, ou les fonctions employées), les logiciels à employer et la progression dans la réalisation. L'idée vient d'un atelier que j'ai improvisé avec mes minis-moi lorsqu'ils ont découvert mon imprimante 3D et posé tout un tas de questions sur comment elle fonctionne et son utilité. Je leur ai alors proposé de dessiner leur porte-clé idéal et que je les transformerai en véritable porte-clé imprimés en 3D.

Ceci dit, je n'ai pas fait tout cela en 3 mois pour rien, et vous trouverez ci-dessous la vidéo finale, grâcieusement hébergée sur l'instance Peertube de Tedomum. J'ai aussi monté un repository Github sur lequel je mets sous licence Creative Commons les différents contenus que j'ai produit, dont notamment les pseudo-musiques de fond, et bien sûr les différents fichiers mentionnés dans la vidéo. Sur ce, je vous laisse juger du résultat, et n'hésitez pas à critiquer (en bien ou en mal), partager ou m'envoyer des insultes via Twitter ou mon mail.

Et la suite ?

J'avais pensé Little Dirty Hacks comme une série de courtes vidéos (pas plus de dix minutes) dans lesquelles je montre des hacks originaux, des réalisations qui n'ont rien à voir avec le monde de la sécurité mais plus liées à du hacking au sens originel, en donnant toutes les clés pour que cela puisse être reproduit.

Si l'accueil est plutôt positif, j'envisage de commettre une nouvelle vidéo et ainsi de continuer cette série, dans le cas contraire je n'insisterai pas et tirerai les leçons de cette tentative. L'échec est toujours une option. Je ne compte toutefois pas, si cette initiative plaît, me forcer à publier régulièrement des vidéos: pas de pub, pas de monétisation, mon rythme, mes règles. A la limite, peut-être mettrai-je en place un Patreon pour permettre à ceux qui apprécient ces petits projets de donner une pièce ou deux afin de financer des projets plus imposants, mais ce n'est pas l'objectif principal.

14
janv.
'19

Livre: Habemus Piratam, de Pierre Raufast

Publié le 14 janvier 2019

Chose n'est pas coutume, je vais parler d'un livre sur ce blog. Non pas que j'aie peur de ne publier que peu de billets sur cette année 2019 ou pris une résolution qui ne tiendront que quelques mois, mais parce que je suis tombé dessus quelque peu par hasard et que je l'ai apprécié. Ce livre, c'est Habemus Piratam de Pierre Raufast. C'est aussi le livre coup de coeur du CLUSIF.


Couverture de Habemus Piratam, crédit motspourmots.fr

C'est l'histoire d'un pirate

Comme le titre laisse supposer, il s'agit d'un roman traitant de religion chrétienne et de piratage, parodiant le célèbre Habemus Papam annonçant l'élection d'un Pape par un conclave. L'histoire de l'abbé Francis, néophyte en informatique, qui reçoit la confession d'un mystérieux pirate dans son église de la vallée de Chantebrie, entre diverses grenouilles de bénitier et autres pénitents. Ce mystérieux pirate raconte ses différents méfaits, avec moults détails, relatant l'usage de drones ou encore des plus viles techniques de piratage telles que de l'ingénierie sociale ou l'installation de logiciels malveillants. Pendant que d'autres crimes et délits se déroulent en parallèle dans le village, démontrant parfois l'utilité des objets connectés dans le contexte de certaines investigations, pour ne citer que cet exemple.

L'auteur fait dans ce roman un étalage de différentes attaques informatiques, du point de vue de ce mystérieux pirate, détaillant la réflexion derrières celles-ci et leur mise en oeuvre; tout en restant abordable et compréhensible pour quiconque n'étant pas expert dans le domaine. C'est un livre divertissant (je l'ai lu d'une traite !), techniquement correct (aucune attaque réellement impossible ou purement inspirée du cinéma) et qui peut amener une réflexion quant à notre usage des technologies, en particulier ces satanés mouchards d'objets connectés.

Un livre accessible aux frileux des technologies

Pierre Raufast dépeint dans ce roman le quotidien d'un abbé découvrant le piratage au travers des confessions d'un mystérieux pirate, sans pour autant connaître les bases de la sécurité informatique ou la cyberdélinquance. L'auteur en profite pour introduire toutes les notions nécessaires à la bonne compréhension des attaques, méthodes, outils mais aussi la manière de penser de ce pirate, tout en restant compréhensible pour tout un chacun. En somme, ce livre éclaire le lecteur sur les attaques actuelles ou qui peuvent se produire, tout en abordant les risques et les enjeux: données, argent virtuel, réputation, tout y passe. Faites-le lire à vos proches, et ils vous assailleront de questions: "est-ce que c'est possible de faire cela ?", "tu crois que je devrais arrêter de poster toutes mes photos sur Facebook ?", "tu connais un objet connecté qui ne t'espionne pas ?".

Habemus Piratam a le mérite de sensibiliser tout en distrayant, voire même d'éveiller la curiosité du lecteur. Les références aux outils ou techniques sont présentes et justes (on y parle de netcat, de keyloggers et autres pare-feus), les scénarios d'attaques possibles voire réalistes -- en particulier ceux impliquant les réseaux sociaux, et cela a même de quoi intimider le lecteur à certains moments du livre. Il ne serait pas étonnant que cet ouvrage amène un certain nombre de ses lecteurs à effectuer, à l'instar de l'abbé Francis, des recherches sur Internet à propos de ces outils, et découvrir des articles ou tutoriels d'utilisation de ceux-ci.

De Hervé à Damien, en passant par Cédric ou encore L'ANSSI

Une des particularités de ce livre, c'est qu'il fait référence à des personnes, personnages et évènements français connus de la sécurité informatique. Ainsi, il est fait mention d'un certain Damien rencontré lors de la nuit du hack, et de son fameux protocole (non, il ne s'agit pas de moi mais plutôt d'un autre Damien ayant un protocole d'alerte), ou encore de Cédric qui "[propose] illico de rédiger un article dans sa revue". D'autres noms ponctuent les différentes histoires, comme par exemple Ryu ou Zelda, ou encore un programme nommé "Babar" avec pour signature "Titi" (toute ressemblance avec un programme existant est purement fortuite).

La culture pop et geek s'est ainsi invitée dans le roman, par petites touches et références savamment dosées et distillées au fil de la progression de l'histoire, arrachant un sourire au lecteur par sa subtilité ou l'absurdité dans laquelle elle survient. Que cela fasse référence à des jeux vidéos, des logiciels malveillants ou encore des pseudonymes de pirates célèbres, les lecteurs avertis y trouveront aussi leur compte.

Habemus Piratam est un roman rafraîchissant, traitant de techniques et d'outils de piratage, le tout servi par une histoire prenante et des personnages attachants. C'est un livre qui se lit avec plaisir, que l'on soit expert en sécurité informatique ou ignorant, et qui peut amener à une réflexion sur notre vie numérique et ses enjeux.



Habemus Piratam, Pierre Raufast, Alma Editeur, 2018.

06
mai
'15

Et vraoum, plus de vie privée !

Publié le 06 mai 2015

Le projet de loi relatif au renseignement a été voté le 5 mai à l'Assemblée Nationale à 438 votes contre 86 (dont 42 abstentions), et vise à encadrer les pratiques des services de renseignement dont celles liées à la lutte anti-terroriste.

Ce projet de loi est soutenu par un bon nombre de députés, et prévoit notamment les points suivant:

Et en quoi cela pose problème ?

En réalité, ce n'est pas le projet de loi entier qui a provoqué une levée de boucliers sur Internet, mais bel et bien des points de détails très importants. Le premier d'entre eux et certainement le plus discuté par les personnes ayant des compétences techniques est celui concernant les fameuses «boîtes noires» que le gouvernement prévoit de mettre en place chez des fournisseurs d'accès à Internet et les hébergeurs de données.

En effet, il a été évoqué l'utilisation d'algorithmes spécifiques permettant d'identifier des comportements caractéristiques des terroristes, permettant de cibler la surveillance sur un groupe restreint d'individus ainsi identifiés. Sauf que ces algorithmes vont devoir avoir un œil partout et sur toutes les données afin de pouvoir faire le tri. Ce qui implique la consultation de chaque information envoyée ou reçue par un internaute, et potentiellement une atteinte à la vie privée. Que nenni, rétorquent les promoteurs de ce projet de loi, «seules les métadonnées seront manipulées». Les métadonnées, ce beau terme décrivant des données associées à un contenu, mais qui ne sont pas du contenu. Ce ne sont pas pour autant des données n'ayant aucun rapport avec la vie privée: si l'on sait avec qui vous discutez, quand et comment, il est facile d'en déduire des informations utiles. Un exemple.

J'ai été amené il y a quelque temps de cela à effectuer une investigation numérique pour une société, car un des associés était suspecté de monter une société concurrente avec une ancienne employée. Lors de cette investigation, seuls des journaux d'évènements (remplis de métadonnées, et que de métadonnées) m'ont été fournis, en particulier ceux du serveur de messagerie. A l'aide de ces informations, j'ai découvert assez rapidement que l'associé en question possédait plusieurs adresses de courriel, et qu'il s'y connectait de différents endroits (identifiés en fonction de l'adresse IP et de la géolocalisation de ces adresses). Et que l'ancienne employée s'était connectée elle aussi d'un endroit similaire (adresse IP identique), mais que cette adresse IP n'était pas celle de l'entreprise, et cela hors heures ouvrées. Ce ne sont que des métadonnées, mais les interprétations/suppositions sont possibles à partir de ces données.

Un peu comme à Noël, lorsque tata Chantal vous offre un cadeau: vous le palpez, vous le secouez, vous le pesez, et vous essayez d'en déduire le contenu sans l'ouvrir. Eh bien avec les métadonnées, c'est exactement la même chose.

Une adresse IP, une adresse de courriel, des coordonnées géographiques, des dates d'envoi et de réception sont autant de données qui une fois corrélées, en révèlent tout autant que le contenu. Ce n'est pas pour rien que la CNIL (Commission Nationale Informatique et Libertés) considère l'adresse IP comme une donnée personnelle (rappelez-vous les débats HADOPI). D'ailleurs, ces mêmes métadonnées ont permis de déterminer que M. Urvoas a rédigé une réponse type transmise aux députés afin que ces derniers puissent répondre «comme il faut» aux citoyens inquiets (Numerama).

Le problème que pose ce mécanisme, c'est qu'il est obligatoirement intrusif et fournit des outils au gouvernement permettant s'il le souhaite d'être détournés de leur usage premier. Sans contrôle de l'autorité judiciaire. Malgré toute la bonne volonté du gouvernement, qui précise que ces outils ne seront pas employés à mauvais escient, on ne peut empêcher a priori un détournement de l'usage de ces outils dans le futur.

Des pratiques illégales, euuuh ?

Second point non-négligeable: le gouvernement reconnaît que ses services de renseignements emploient des pratique de recueil d'information non-encadrées par la loi. La loi relative au renseignement vise justement à combler ce manque, afin de légaliser entre autres:

Le patch législatif proposé n'est pas suffisant: il n'inclut aucun contrôle par l'autorité judiciaire, et légalise ces pratiques tout en permettant de possibles dérives. Toutefois, il est nécessaire de légiférer sur ces techniques récentes, afin d'encadrer ces pratiques, mais sans oublier d'y inclure un contrôle a priori.

Boarf, de toute manière je n'ai rien à cacher

Si vous n'avez rien à cacher, cela ne vous dérangera pas alors que l'on transforme votre maison en loft style télé-réalité, truffé de caméras et de micros. Après tout, vous n'êtes ni terroriste ni conspirateur, et vous n'avez aucun secret à cacher. Quoique.

A y réfléchir, peut-être que la caméra dans la chambre à coucher, ainsi que celle dans les toilettes et la salle de bains sont un brin intrusives ? Personne n'a besoin de savoir que vous galérez avec les dernières feuilles de votre rouleau de papier toilette, ou que vous prenez en photo vos plus beaux exploits délicatement déposés dans la cuvette. Personne n'a besoin de savoir que vous avez des relations sexuelles une à deux fois par semaine, ou que vous pratiquez l'onanisme tandis que madame a le dos tourné. Cela relève de l'intime, bien que les frontières de l'intime ont été repoussées par les réseaux sociaux.

On a tous quelque chose à cacher, pas que l'on soit terroriste mais plutôt que l'on a besoin d'avoir un jardin secret, son petit coin de plaisir personnel rien qu'à soi. Et on ne tient pas forcément à ce que tout le monde le découvre.

Quid des «boîtes noires» que le gouvernement prévoit d'installer ?

Je pense qu'un dessin vaut mieux qu'un long discours.

Et maintenant ? Que peut-on faire d'autre ?

Malgré le fait que M. Le Premier Ministre qualifie les appels des citoyens aux députés et sénateurs de «pressions», il est encore possible de contacter ces derniers (les sénateurs) afin de leur faire entendre raison quant au projet de loi. Ce dernier doit repasser au Sénat pour un examen final, et il n'est pas encore trop tard pour ouvrir les yeux. Contactez donc les sénateurs, la Quadrature du Net fournit un outil pour cela.

Une saisine du Conseil Constitutionnel est a priori en cours de la part des députés étant contre le projet de loi, ce qui devrait aboutir à un examen des articles controversés par les sages, et potentiellement la reconnaissance que certains d'entre eux sont contraires à la Constitution (si j'ai bien tout compris -- je ne suis pas juriste).

Bref, il reste un espoir.

Le premier à me trouver la référence du titre gagne toute mon estime



Les contenus disponibles sur ce blog sont publiés sous licence Creative Commons BY-NC-SA.
Vous pouvez réutiliser tout ou partie de ces contenus à condition de citer l'auteur et l'origine, vous ne pouvez en faire une utilisation commerciale, et enfin vous devez partager tout travail ou œuvre dérivée sous les mêmes conditions — c'est-à-dire avec la même licence d'utilisation Creative Commons.