On nous tanne le mou depuis des années avec le piratage, l'HADOPI et les méchantes personnes adeptes du téléchargement de type pair à pair, ou P2P. C'est encore très présent de nos jours avec la volonté de l'HADOPI de filtrer les sites de streaming, ou de lutter encore et sans merci contre les (derniers) adeptes du P2P. Ou du moins ceux qui n'ont pas encore découvert MegaUpload & consors et les joies du téléchargement direct. Malheureusement, cette chasse aux sorcières est vaine et pousse les choses dans le mauvais sens.
Une chasse qui tourne court
Plusieurs serial-downloaders se sont fait attraper par la Haute Autorité, mais à ce jour aucun d'eux n'a été envoyé dans un tribunal. Il semble que le troisième volet de la riposte graduée ne soit pas encore très prisé par la HADOPI elle-même, comme le montre le cas de l'enseignant Thollot. Elle préfère le pédagogique au répressif, en conformité avec sa raison d'être.
La société mandatée par les ayants-droits et autorisée par l'HADOPI à collecter les adresses IP des pirates a montré ses faiblesses, révélées par Bluetouff, et l'interconnexion entre la Haute Autorité et cette société est toujours interrompue, bien que l'audit de sécurité mené par HSC ait été réalisé et le rapport remis.
A quelques semaines des élections, les programmes des candidats divergent, et certains parlent déjà de supprimer cette Haute Autorité qui ne sert à rien, si ce n'est à faire peser au dessus de la tête de Madame Michu une bonne vieille épée de Damoclès. "Attention, si tu télécharges, ca va couper !", comme disait notre ami Dédé.
Les artistes se meurent ... mais ne se rendent pas !
Alors oui, on va me dire que les artistes se meurent, et que la rémunération de la création n'est pas ce qu'elle devrait être. Pouvez-vous me dire ce que l'HADOPI a fait pour améliorer la rémunération de la création d'œuvres ? Hmm ? Pas grand chose,`aneffé <http://www.laquadrature.net/fr/hadopi-albanel-passe-son-oral-020>`_. Bon, je ne commenterai pas la bonne santé des cinémas français, ni le regain d'intérêt des spectateurs pour la 3D, ou encore les records battus par Intouchables ou Bienvenue chez les ch'tis. Le modèle de rémunération français est obsolète, qu'on se le dise. Plusieurs artistes ont démontré qu'ils pouvaient être rémunérés (et très bien rémunérés) pour leur travail en se passant d'intermédiaires, avec une interaction directe avec leur public, comme Radiohead ou encore Louis CK.
Et non, les intermédiaires ne sont pas morts, je suis sûr qu'il y a encore de la place pour des fans de marketing viral, des adeptes et accros à Twitter et Facebook, et des personnes à même de faire connaître des artistes par leur dimension sociale. Ces gens là ont un avenir dans le monde artistique. Tout comme les artistes eux-mêmes. L'heure de la dématérialisation a sonné le glas d'un système archaïque, et tend à être la norme d'une jeunesse qui a grandi avec YouTube, DailyMotion et iTunes.
Les acteurs du futur de la création ne sont pas ceux que l'on attend. Non, ce n'est pas aux fans de musiques, de groupes, de mouvements divers de pousser au changement; ce n'est pas non plus aux maisons de disques de sauter le pas, de tenter l'aventure numérique. Non. Ces changements, ces prises de risques, ce sont aux artistes de les faire, de les prendre. Les artistes sont le moteur de la création, ce sont eux qui créent et font vivre leurs œuvres. En n'acceptant pas un modèle figé et ancien, en utilisant les nouveaux modes de communication et de diffusion ils toucheront un plus large public, et bénéficieront de cela. Et s'il y a une chose dont je suis sûr, c'est que ce public saura le leur rendre. Comme je l'ai mentionné dans un précédent post: osez. C'est à vous de faire l'avenir de la création artistique, ne soyez pas attentistes. Okay, je pense que vous avez saisi mon propos.
Et les réseaux dans tout ça ?
Eh bien ce sont eux qui en pâtissent, car un des effets de la répression des téléchargements de contenus illicites via P2P est la migration d'une grande partie des pirates vers des solutions non-fliquées, comme le streaming ou le téléchargement direct (direct download, ou DDL), abusant ainsi du modèle client/serveur et générant un trafic monstre. Trafic tellement important, que plusieurs FAIs ont bien essayé de le limiter en douce. En fait, il s'agit d'un rétro-pédalage dans l'innovation technologique. Je m'explique.
Le système classique (qui a dit ancien ?) est basé sur un ou plusieurs clients demandant une ou plusieurs ressources à un serveur. On a donc un seul serveur qui dessert une certaine quantité de clients. Au delà d'un certain nombre de clients, le serveur reçoit trop de demande et ne peut toutes les satisfaire: il y a saturation (et ce brave serveur ne va pas s'en remettre de suite). L'avantage du système de téléchargement P2P, c'est que dès qu'un client a récupéré un bout d'une ressource, il la partage aux autres (et agit donc comme serveur à son tour), ce qui a pour conséquence d'augmenter l'offre tandis que la demande augmente, et donc de pouvoir assurer une très bonne disponibilité des ressources. Cela a aussi pour effet de répartir la charge sur l'ensemble du réseau, et d'éviter que le serveur ne soit un goulot d'étranglement. Ce principe d'échange est tellement efficace qu'il est désormais intégré de base dans plusieurs jeux pour réaliser les mises-à-jour, comme sur World of Warcraft (Blizzard) par exemple.
En condamnant la technologie P2P, on force plusieurs milliers (millions ?) de clients à revenir à l'ancien modèle, et à saturer de nouveaux les fournisseurs de ressources. Et forcément, la demande explose et le ou les serveurs ne suivent plus trop. Quand on pense qu'avec le P2P tout allait mieux ...
Un réseau dans le réseau dans le réseau dans le ...
Tout cela pour en arriver à ce dernier paragraphe, qui cette fois traite de bon sens. En criminalisant les personnes qui téléchargent des contenus soumis au droit d'auteur via des réseaux P2P ou même DDL, on les pousse à consommer du VPN à 5€/mois (un marché prometteur d'ailleurs), à utiliser bon nombre de moyens de chiffrement et d'anonymat, et à être paranoïaques. Non seulement les VPN*s et les moyens de chiffrement réduisent les performances, mais en plus ils créent un réseau dans le réseau. Cette tendance est d'ailleurs d'actualité, avec notamment `l'apparition et l'évolution des PirateBoxes <http://wiki.daviddarts.com/PirateBox_DIY>`_, ou encore l`es réseaux communautaires *Mesh <http://www.harakiwi.net/actualites/reseau-mesh-wifi-larme-absolue-anti-hadopi-2767.html>`_ voire même un réseau satellitaire communautaire et libre !
Il est très dommage de devoir réinventer la roue, et de se réapproprier des technologies et des moyens permettant d'échapper au contrôle et à la censure, encore plus de devoir créer un nouveau réseau libre au sein d'un réseau existant, comme le font ToR ou encore Freenet. N'était-ce pas la volonté même des créateurs de ce super-réseau qu'est Internet ? N'est-ce pas là un vecteur de Liberté, offert à tout un chacun ayant accès à l'Internet ? Oh wait ... il faut payer. Pourquoi perdre son temps à tenter de limiter, contrôler, un réseau en évolution et devenu essentiel à bon nombre de gens et de sociétés aujourd'hui ? Que seraient Facebook, Google, Microsoft sans Internet ?
Les initiatives de réseau communautaires sont louables, en ce sens qu'elles permettent un accès à un réseau gratuit avec des moyens modestes, bien que pour certaines un peu utopiques à mon goût. Mais le coup de la PirateBox, sorte de TAZ où l'on peut partager et échanger librement, j'avoue que je suis fan :).
Certains d'entre vous le savent peut-être déjà, mais nous avons perdu un hacker et très bon ami samedi dernier, le 3 décembre 2011. La nouvelle s'est répandu assez rapidement dans son entourage, puis dans son cercle d'amis. CrashFr, hacker au grand coeur qui a créé il y a de cela plusieurs années Hacker'z Voice, est décédé à l'âge de 30 ans. Brutalement.
Je l'ai rencontré il y a plusieurs années, durant les nombreuses Nuit du Hack qu'il a organisé, et auxquelles j'ai pu participer. Un type formidable, ce CrashFr. C'est grâce à lui notamment qu'on a pu monter certains magazines (qui n'ont pas forcément marché), que l'on a pu faire entendre la voix des hackers et faire valoir leurs compétences et leur savoir-faire. Il s'est toujours battu pour ses idées, et il était toujours le premier à foncer. C'était une de ces personnes qui ne s'avouaient jamais vaincues, même lorsque le moral était au plus bas ou que rien ne laissait présager de bon. Un battant, ce Paolo. A plusieurs reprises je l'ai vu confronté à des problèmes, retourner dans tous les sens des questions, mais sans qu'il perde son optimisme ni sa bonne humeur.
On ne s'y attendait pas. Personne. Mais la vie est cruelle, et si fragile. Trop même. Je n'ai pas les mots justes pour décrire dans quel état d'esprit je suis, certainement trop bouleversé pour pouvoir réaliser exactement ce qu'il s'est passé, je ne sais pas comment appréhender les jours à venir. A tous ceux qui lui étaient proches, je vous souhaite du courage pour surmonter cette épreuve. Un hacker de renom nous a quitté, sans crier gare, sans même qu'on ait eu le temps de crier. Et s'il y a bien une chose que j'ai envie de faire en ce moment, c'est bien ca, crier. Mais il ne reviendra pas. J'ai beau essayer, ca ne change pas. Toujours cette même réalité, ce mauvais cauchemar qui n'en est pas un. Tu es parti mon ami. Et je réalise maintenant à quel point tu comptais vraiment.
Tu resteras toujours avec nous, dans nos mémoires de geeks, toi le hacker à la casquette. Repose en paix.
C'était samedi dernier, ma femme traînait comme chaque weekend sur MSN, guettant chacun de ses contacts afin de discuter des choses en cours, etc... Et son petit frère vient lui parler, et le plus normalement du monde lui demande de mettre une annonce à sa place sur le site www.leboncoin.fr. Geekant à côté, ce fait m'a clairement intrigué, mais je l'ai laissée faire, tout en restant méfiant. Et je n'ai pas eu tort.
tu vas m aider juste 5min ...
Je sentais bien qu'elle galérait à suivre les indications de son frère, qui par ailleurs avait un langage bizarre. Petit extrait de la conversation:
mme_virtu: tu veu que jappel xxx: tu vas m aider juste 5min a remplir un formulair d'annonce sur un site d' annonce gratuite car il y a mon pc qui beugg sur le site et qui me soul et me donne la merde mme_virtu: ah et quest ce que je peu faire xxx: voila tu va sur le site www.leboncoin.fr et tu klic sur deposer une annonce et apres tu me di la suite cbon?? tu es sur le site ?? ?? mme_virtu: oui ji suis xxx: ok tu klic sur deposer une annonce mme_virtu: c fai xxx: ok Code postal: 50110 Département: Manche Région: Basse-Normandie voila tu remplir et tu me di la suite mme_virtu: OKI ENSUITE xxx: oui tu me di et je te donne mme_virtu: OK
Bref, il se montrait un poil trop insistant. Elle était là pour l'aider quoi, il aurait dû être plus reconnaissant le bougre. Je flairais le piège. Pour le coup, il lui demande par la suite de télécharger des images directement via des URLs, de les sauvegarder et de les ajouter à l'annonce. C'est là que ma femme a laché l'affaire, n'étant pas experte de la chose, elle me passe son laptop et me demande de le faire à sa place. Je le prends, termine la saisie de l'annonce, et note les informations intéressantes fournies par mon interlocuteur:
Je soumets, et là il me demande de la valider à sa place, en me collant directement le lien dans MSN. Encore une fois, très louche tout ça. Je lui fais croire que j'ai validé, et il me demande d'en poster une nouvelle. J'en profite pour faire les vérifications d'usage:
mme_virtu: ok, vous arrivez quand ici ? xxx: tu a remplir deja ?? mme_virtu: nan pas encore, je veux juste savoir quand est-ce que tu viens me voir lol xxx: demain soir ok tu remplir et tu me di ok on fini vite mme_virtu: ca peut pas attendre dimanche, ca me saoule ... xxx: ok tu sa quand?? tu veux quand alor ? mme_virtu: dimanche quand tu seras a la maison xxx: koi?? tu remplir la ??
Bon, comme prévu il a eu faux à la question piège (la date de son arrivée), à savoir qu'il devait venir le lendemain en début d'après-midi et non le soir. Pour le coup je l'ai fait un peu patienter, généralement cela a le don d'énerver l'interlocuteur (ce qui a été le cas ici). Pour terminer, je refuse tout simplement de poster une seconde annonce à sa place, et il se déconnecte aussitôt sans autre forme d'au-revoir, ce qui me confirme encore une fois que ce n'était pas mon beau-frère en face, mais bel et bien un pirate.
En parallèle de cette conversation, j'avais googlé rapidement quelques mots-clefs histoire de voir si c'était une arnaque connue, et quelle ne fut pas ma surprise de lire plein d'avis d'internautes qui se sont fait avoir par ce type de piège.
Oui, mais pourquoi ? Pourquoiiiiii ??
La première question qui m'est passée par l'esprit était celle du pourquoi: pourquoi demander à une tierce personne de poster une annonce sur le site www.leboncoin.fr alors qu'elle pourrait le faire elle-même. J'ai donc entrepris de faire quelques recherches dans ce sens.
Première partie de réponse, qui m'a semblé évidente: pour éviter d'être tracé. En effet, les annonces postées indirectement par les pirates sont très alléchantes, et peuvent attirer de potentielles victimes qui pourraient décider d'acheter un bien fictif et se feraient donc arnaquer de quelques milliers d'euros. En cas d'enquête, c'est l'adresse IP de la personne qui a posté l'annonce qui est suspecte. Ceci dit, les proxies anonymes et/ou ouverts existent, et permettent de passer outre. J'étais sceptique.
J'ai donc décidé de vérifier par moi-même si leboncoin interdisait l'envoi d'annonce de l'étranger:
Impossible donc de déposer une annonce si on ne provient pas d'une adresse IP française, et cela afin de limiter les fraudes je suppose. Pour un étranger, demander à un français de passer une annonce à sa place a donc deux avantages: pouvoir déposer et valider une annonce (lors de la discussion, mon interlocuteur m'a demandé de visiter un lien de validation d'annonce) tout en étant quasi pas traçable.
En recherchant sur Internet plus d'information sur ce type d'arnaque, je suis tombé sur deux URLs bien sympatiques:
Elles expliquent en partie les motivations de ces pirates, et notamment le fait que ceux-ci cherchent à déposer des annonces frauduleuses sur le site www.leboncoin.fr, mais tentent aussi de phisher le mot de passe MSN de la victime à l'aide de ce site même ! Je dois avouer que je n'avais pas directement pensé à cette solution...
1, 2, 3, 4, 5, 6 ... owné !
J'ai remarqué que le pirate m'a demandé de mettre le mot de passe 123456 comme mot de passe de l'annonce, alors je me suis dit qu'il devait être "fan" de ce type de mot de passe. Ni une ni deux, je me suis connecté sur le portail de Yahoo, et je me suis authentifié sur le compte qu'il m'avait fourni avec le même mot de passe, bingo !
J'ai pu retrouver l'email de demande d'activation de l'annonce envoyé par www.leboncoin.fr:
Bon, jusque là rien de super passionnant. J'ai juste réussi à compromettre le compte email du pirate. Cependant, Yahoo propose une fonctionnalité capitale: la possibilité de regarder qui s'est connecté sur le compte (via l'option "Infos Compte"), et affiche notamment les adresses IP. C'est comme cela que j'ai pu récupérer les différentes adresses IP du pirate qui a créé ce compte:
Une rapide géolocalisation de ces adresses IP montre qu'elles proviennent du Bénin (Cotonou et villes proches), ce qui est apparemment très courant dans ce type d'arnaque. Le compte a été visité le lendemain de la tentative que j'ai essuyé, mais sans nouvelles du site www.leboncoin.fr . Quant au numéro de téléphone donné par le pirate, celui-ci n'est pas attribué.
Le cheval de Troie belge de retour !
Je n'ai pas pu récupérer plus d'information que cela sur le pirate (pas comme didoune qui a pu discuter avec lui et mesurer sa ... enfin bref), mais on peut se rendre compte très rapidement que l'attaque est réalisée par des personnes sans aucune connaissance technique en informatique et encore moins en sécurité:
Le site www.leboncoin.fr fait tout son possible pour éradiquer ce type de comportement, qui s'est d'ailleurs propagé sur facebook et d'autres messageries instantanées, mais cela reste la bonne vieille technique du cheval de Troie belge: "Bon maintenant tu ouvres ton navigateur, et tu fais ce que je te dis ...". Ce type de fraude n'est pas neuf, car plusieurs attaques de ce genre ont été recensées à partir de 2010.
On ne le dira jamais assez, mais ne faites pas n'importe quoi avec votre compte facebook ou MSN, sans quoi vous mettez votre sécurité, vos données personnelles ainsi que celles de vos amis en danger.