En ses temps de mesures sécuritaires, j’ai voulu également augmenter ma propre protection. Comme tout le monde j’ai des choses à cacher et l’utilisation d’un VPN chiffré devient une nécessité. Pour corser l’expérience, j’ai voulu payer en Bitcoin. Je précise que je n’ai jamais acheté ni l’un ni l’autre. Ce n’était pas de tout repos.

William Clinton and President Boris Nikolayevich Yeltsin

– J’arrive pas, dis le toi!
– Nous ne procédons pas à d’écoutes massives de la population et respectons votre vie p…

1. trouver un provider VPN
3 jours à parcourir les comparateurs foireux ou juste demander (plus efficace). Je choisi finalement cryptostorm. Une société tenu des hacktivistes basés en Islande, un peu bordélique (il faut aimer fouiller les forums), pas trop cher (3-4$/mois), utilisant token anonymes assez original (en gros on achète des tokens à eux ou revendeurs indépendant, pas besoin de compte) et possibilité de payer en Bitcoin, Doguecoin & co.

Je parlerai probablement de Cryptostorm après quelques semaines/mois de tests mais j’avoue être assez fan jusqu’à présent.

2. trouver un revendeur Bitcoin
2 jours de comparateurs. J’avais tenté une fois bitstamp avant d’avoir ma transaction refusée par ma banque. Cette fois, j’ai essayé avec Kraken, pas trop de frais, clean, sécurisé (2 factors, ils envoient des emails signés avec GPG…. refusés par enigmail).

3. acheter des bitcoin
4 jours pour se rendre compte qu’on ne peut pas faire de virement, donner son nom et date de naissance pour passer en tier 2 (level up!), se rendre compte qu’on ne peut toujours pas déposer d’euro, donner son adresse pour passer en tier 3, faire un virement SEPA (50€ min), attendre qu’il soit réceptionné, se prendre déjà pour un tradeur, lire des articles de trading, abandonner l’idée, acheter quelques bitcoin à 213€/BTC sans savoir si c’est un bon prix.

femme assemblant un ordinateur

1975, un des premiers prototypes d’Asic Miner

4. réceptionner les bitcoins
2 jours à chercher un client bitcoin, pleurer en comprenant qu’il me faut 33GB d’espace disque pour stocker la blockchain, se faire conseiller sur twitter d’utiliser Multibit, découvrir vanitygen, perdre une journée pour avoir une adresse toujours aussi immémorable mais commençant par « 1marte », stresser comme un fou de perdre sa tune, se rendre compte qu’en fait c’est rapide et facile.

5. acheter l’accès VPN
2 jours à payer sur bitpay, se dire que mettre mon adresse email perso n’est pas la chose la plus intelligente, attendre, vérifier toutes les 5 minutes sa boite mail, aller consulter les logs de son serveur mail, se dire qu’on a probablement foiré un truc, installer Bitmessage pour contacter le support de cryptostorm, ne pas recevoir de réponse, se dire qu’en fin de compte Twitter c’est aussi un bon moyen de communication, recevoir une réponse d’excuse comme quoi ils étaient occupé à gérer SauronsEye (un méga-malware bien flippant), recevoir un token de 3 mois au lieu de 2 pour s’excuser, les pardonner.

6. se connecter au VPN
5 minutes à choper un fichier de config au choix (il y a une dizaine de points de sortie), utiliser le sha512 du token comme nom d’utilisateur sur OpenVPN (en ligne de commande, le client de NetworkManager me donne plus de fil à retordre), aller sur IPleak pour voir que je ne laisse rien filtrer, se rendre compte que je peux maintenant résoudre les URLs .i2p et .bit avec leurs DNS, retourner voir des gifs sur reddit.

Police dog

On the internet, nobody knows you are a dog…

Que retenir de tout ça ? Que cela m’a prit un temps assez délirant, principalement passé à faire des recherches (et heureusement, ça ira plus vite la prochaine fois). Il existe des tonnes d’alternatives pour chaque point (et je n’ai surement pas choisi les meilleures ou les plus faciles). C’est une très bonne chose d’avoir le choix mais ça noie le néophyte, il faut sacrément être motivé pour se protéger aujourd’hui.

Je précise aussi que si j’ai fais cela pour des raisons de sécurité, je suis bien conscient de pas être anonyme, on peut probablement me retracer à mes bitcoin ou achat du VPN, ce n’était pas le but (mais ça serait un beau challenge pour une prochaine fois).

On en reparle dans quelques semaines pour faire le point sur Cryptostorm.

Lundi, à l’occasion d’une nouvelle opération « in our site », le gouvernement américain a annoncé a la saisie de 132 noms de domaine et de comptes PayPal associés (ce qui nous amène à 1630 domaines saisis depuis 2010). Comme a chaque fois, la subtilité américaine est de mise : on saisit et puis on réfléchit/juge. Les sites visés seraient des sites vendant des contrefaçons à l’occasion du cyber-monday (moment d’allégresse post-thanksgiving où les foules virtuelles font des offrandes au dieu Kapitalism en achetant des produits soldés dont ils n’ont pas besoin).

La où l’opération fut originale est que 31 des 132 noms de domaines possédaient des domaines de premier niveau européens. Cela a été possible avec la coopération d’Europol et de la police de plusieurs pays européens. Auparavant, ces opérations ne visent que les domaines en .com, .net, .cc ou .tv car gérés par Verisign, société américaine (le pays dans lequel les données sont hébergées n’a pas d’importance). Grâce à cette coopération, des domaines en .eu, .be, .dk, .fr, .ro et .uk (on a trouvé les cafteurs) ont été également saisi. Le cas du .eu est d’autant plus alarmant qu’il est géré par EURid, un consortium de trois registars européens (Belgique, Italie et Suède) créé par la commission européenne. On le pensait assez résistant contre les risques de censures.

Attention, je ne défends pas les sites web proposant du contenu illégal. Seulement il n’est pas garanti qu’ils soient réellement illégaux. On a par exemple le site espagnol RojaDirecta.com qui proposait des liens pour regarder des matchs sportifs en streaming. Le problème est que ce site a été jugé légal par le gouvernement espagnol. Cela n’a pas d’importance pour le gouvernement américain puisqu’un mandat à suffit à saisir le nom de domaine (qui fut récupéré après plus d’un an suite au combat du propriétaire). Ceci n’est qu’un exemple parmi d’autres de ce que je considère comme un abus de la part des américains.

Ces saisies visaient des sites proposant des contrefaçons mais il ne serait pas très étonnant de voir s’appliquer la coopération à des sites de torrent qui avaient prit l’habitude d’abandonner le trop risqué .com (piratebay, ils sont bons tes rapports avec la Suède ?). Pourquoi pas des sites qui dérange comme WikiLeaks dans le future ? Je ne sais pas s’ils ne l’ont pas encore fait parce qu’ils ont peur de la réaction des gens ou parce qu’ils savent que ça serait inutile au vu du nombre de miroirs présents.

Hey John, t’as vu comme ces cons y croyaient avec leur .eu ?

Le problème n’est pas la coopération internationale mais le fait que cela enfonce l’idée que l’Amérique a un contrôle sur internet. La gestion centralisée des noms de domaine par l’ICANN et l’influence du gouvernement américain est clairement un problème permettant ce genre de dérive. Il y a quelques temps, j’avais parlé d’OpenNIC et des noms de domaine décentralisés. Il est plus que temps que ce genre d’alternatives sorte de la sphère geek-parano (et se professionnalise un peu plus). Le .onion de Tor risque également de séduire quelques personnes.

Le future nous dira comment les saisies se poursuivront et dans quel sens mais on peut s’attendre à ce que ce genre de coopération se répète dans le futur. Je crains que la liberté sur internet sera encore mise a rude épreuve prochainement.

[Source]

Mise à jour 5/12/12: il semblerait qu’EURid, responsable des .eu, refuse de donner des informations sur la saisie comme de qui vient la demande ou pour quelle raison. Je sens que je vais regretter mon achat de .eu moi. Plus d’info : Complaint To Brussels Prosecutor Put BitTorrent Domains In Peril.

Qui a piraté me.ga ?

7 novembre 2012

On va pas refaire l’actualité mais en accéléré :

  1. Kim Dotcom annonce me.ga pour son nouveau megaupload
  2. le .ga choisi pour éviter le .com des USA, n’est pas si neutre que ça
  3. Le Gabon décide de kicker Kim avant même le lancement du site (waw ça a pas tenu longtemps)
  4. Un groupe de pirate nommé Ω prend contrôle de me.ga et le fait pointer sur leur compte Twitter

Bon je vais pas pleurer sur ce pauvre Kim Dotcom, ce type ne m’a jamais inspiré une grande sympathie mais l’affaire est quand même intéressante au vu de l’aura du bonhomme (une sorte de Steve Jobs des accrocs de série). Je vois venir toutes les théories possible, complot des États-Unis, coup organisé par Kim Dotcom pour faire augmenter son buzz, Chuck Norris fâché de la défaite de Mitt Romney,… Tout est possible !

Sur le compte Twitter de Ω (qui ont ironiquement un nom de domaine ome.ga), ils se disent dégoûté du roi Dotcom, ne valant pas mieux que Vivendi. Sur TorrentFreak, on dit que les pirates ont agi depuis la France. Certains se posent des questions comme quoi le compte Twitter n’est entré en activité qu’au moment du piratage. Étrange ? En soit pas tant que ça, après avoir fait un coup comme ça, normal qu’on veuille essayer d’être un maximum anonyme et ne pas laisser de trace. Ça tombe bien, j’aime quand les gens essayent de ne pas laisser de trace !

Cherchons le whois de ome.ga. Zut caché mais je n’espérais pas trop non plus. Le cache Google ne me donne pas beaucoup d’info. Tient et en parlant de cache Google, qu’est ce qu’il donne sur le compte Twitter ? Bingo

Il s’appelait donc ONYMOUS le 28 oct. 2012 04:26:29 GMT (avant que Kim Dotcom n’annonce me.ga) avec un nom de domain onymous.com, c’est suffisamment proche dans le temps pour qu’on suppose qu’il s’agisse du même propriétaire (je me demande combien ça coûte un compte Twitter à une lettre). Nom de domaine inutilisé a priori. Que disent les DNS ? Pas protégés ceux-ci.

Le possesseur du compte Twitter est en fait un Québecois de Montréal (est-ce qu’il y aurait une confusion francophone -> France ?). Nom de domaine à vendre (on veut se débarrasser des traces ?). On a une adresse et même un numéro de téléphone.

Suite #209 selon les DNS

Une rapide recherche sur le numéro de téléphone me donne un nom. Zut Andre ne vit pas à la même adresse. Est-ce que les gens mentiraient dans leurs DNS, que c’est vilain ! Cependant, il n’y a qu’1km de distance entre les deux adresse, c’est proche. Toujours avec Google, je trouve un cv et découvre que Andre est un photographe d’une quarantaine d’année.

Bon chacun ses goûts, j’ai jamais été un artiste de toute façon

Au passage, avec l’email an@onymous (jeux de mot à prévoir), on découvre que si onymous.com ne répond pas au ping, mail.onymous.com bien. Via l’ip (208.97.132.231) on apprend qu’il est hébergé chez DreamHost.

On arrive au point où on fait beaucoup de suppositions dont la première est que le type n’a pas dit n’importe quoi dans ses DNS. J’ai comme un doute que notre photographe est en fait un hacker mais si j’étais dans le coin, je crois que j’irais quand même frapper aux deux portes juste pour voir s’il y a pas un lien (amis, ancienne adresse…). Ou bien téléphoner ou envoyer un mail. Toujours est-il que j’ai trouvé tout ça assez facilement, sans outil très sophistiqués, pour m’amuser. Ce brave pirate risque de ne pas être tranquille dans les quelques jours qui vont suivre. Sur ce, je vais allez me chercher un paquet de pop-corn.

Dans un article précédent, j’expliquais que la cours d’Anvers avait ordonné le blocage du site The Pirate Bay au niveau des DNS pour Belgacom et Telenet.
Cette décision est stupide car il n’est pas très compliqué de contrer un blocage DNS avec un peu de manipulation. La censure impactera donc l’utilisateur moyen, pas les gros téléchargeurs qui trouveront des moyens de la contrer. Aujourd’hui cette censure est entrée en action, lorsque que vous visitez piratebay (en version http, en https c’est erreur 404), vous avez une page bien moche vous disant que le site est bloqué.

Aux USA aux moins quand ils font les cons avec les noms de domaines, ils le font avec style


Pour donner un coup de main aux gens privés de leur site de téléchargement favori et parce que les manipulations ne sont pas forcement très faciles, voici comment faire :

Pour tous

Ci dessous, j’explique comment modifier les DNS en fonction de votre système d’exploitation mais voyons d’abord une série d’astuces valables pour tous.

  • Ne plus utiliser TPB. Pirate Bay est un site contenant des millions de fichier .torrent. Cependant en général ces fichiers sont présents sur de nombreux autres sites également. Vous pouvez les trouver facilement avec une recherche dans torrentz par exemple. Ce site vous donnera la liste des sites de torrent où vous pourrez trouver un .torrent associé à un même fichier. La force des torrent est qu’ils ne sont pas liés à un seul site ou tracker. Seulement la BAF risquerait de croire qu’elle a gagné donc solution moyenne.
  • Utiliser une URL alternative. Comme je l’expliquais, le blocage va simplement empêcher d’associer l’ip 194.71.107.15 à thepiratebay.org, pas vraiment bloquer l’accès au site. TPB a donc créé depiraatbaai.be qui renvoie au site principal. Cependant ils ont fait ça comme des pieds et toutes les ressources statiques (css, images et fichiers .torrent) utilisent toujours l’url normale, donc bloquée… En espérant qu’ils règlent ça rapidement.
  • Changez de FAI. Passez chez Voo, Base, Billi ou autre. Seul Belgacom et Telenet sont affectés. C’est pas vraiment la faute de Belgacom sur ce coup là (a été forcé) mais de toute façon faire fonctionner la concurrence est une bonne chose en soit.
  • Configurez votre BBox. PostBlue explique sur son blog comment configurer les DNS de la BBox pour accéder au site. Bien car à ne faire qu’une fois pour tout ceux connectés derrière le même réseau wifi.

Si ces solutions ne vous conviennent pas, voyons maintenant comment modifier les DNS. En changeant les serveurs DNS par défaut, lorsque vous écrirez une URL dans la barre d’adresse de votre navigateur, ce sera les serveurs de votre choix qui seront interrogés plutôt que ceux de votre fournisseur d’accès internet ou entreprise. Cela ne devrait pas impacter votre surf sur d’autres sites ni votre vitesse (uniquement lors de votre premier accès à un site mais la différence est minime et nécessairement à votre désavantage).
Voici une liste de serveurs intéressants :

  • OpenDNS 208.67.222.222 ou 208.67.220.220, j’en parlais ici, ils proposent pas mal de service supplémentaire comme un contrôle parental ou anti-phishing, si le contrôle ne vous dérange pas.
  • Google 8.8.8.8 ou 8.8.4.4. Pas d’avantage en particulier si ce n’est le sérieux habituel de Google. A voir si vous lui faites assez confiance que pour qu’il soit au courant de tout les sites que vous visitez (c’est déjà le cas de toute façon).
  • LegTux 88.190.27.51. Permet de résoudre les .42 en plus des sites habituels, c’est mon hébergeur, je leur fais suffisamment confiance pour pouvoir dire qu’ils ne vous espionnent pas.
  • Epimeros 46.4.27.2. Permet de résoudre les .42 et les domaines d’OpenNIC, c’est celui que j’utilise actuellement.

Choisissez une IP dans la liste ci dessus. La procédure pour modifier les DNS est très bien expliquée pour tout systèmes sur le site d’OpenDNS mais en anglais, n’oubliez pas de changer l’IP si vous n’utilisez pas OpenDNS mais un autre serveur DNS.

alternate DNS et .42

Rappel du fonctionnement des serveurs DNS alternatifs avec mart-e.42

Pour Windows

Je parle ici de Windows 7, allez jeter un coup d’œil sur le site d’OpenDNS pour XP et Vista (anglais).

  1. Allez dans le Centre réseau et partage (depuis le panneau de configuration ou une recherche dans le menu démarrer).
  2. Cliquez sur Modifier les paramètres de la carte (à gauche)
  3. En fonction de si vous êtes connecté via wifi ou cable, vous verrez une ou plusieurs cartes, sélectionnez celle que vous utilisez et faites bouton droit > propriétés.
  4. Dans la nouvelle fenêtre, cliquez sur Protocole Internet version 4 (TCP/IPv4) puis Propriétés.
  5. Dans l’onglet Général, sélectionnez l’option Utiliser l’adresse de serveur DNS suivante et mettez une l’adresse IP que vous avez choisie dans Serveur DNS préféré. Le serveur auxiliaire est facultatif mais vous pouvez mettre une autre IP (il y en a deux pour OpenDNS et Google par exemple).
  6. Appuyez sur OK et fermez toutes les fenêtres. Si cela ne fonctionne pas directement, essayez de redémarrer votre connexion internet et veillez bien à ce que ce soit fait pour toutes vos cartes réseau (étape 3).

Pour GNU/Linux

La procédure peut être un peu différente en fonction de la distribution et programmes que vous utilisez. Voici donc 3 procédures différentes, a vous de voir la meilleur pour vous…

En utilisant network-admin (GNOME) :

  1. Lancez network-admin (parfois appelé gnome-network-admin), appuyez sur le bouton Déverrouillez pour pouvoir modifier les paramètres. On notera au passage, que Linux est le seul à vous demander un mot de passe admin pour modifier les DNS qui est quand même une fonctionnalité assez sensible…
  2. Allez dans l’onglet DNS, cliquez sur le premier bouton ajouter (à coté de Serveur DNS) et entrez l’IP du serveur choisie. Notez que les serveurs sont utilisés de haut en bas. Jouez avec le bouton supprimer et ajouter pour les mettre dans l’ordre voulu (celui que vous avez choisi au dessus), faites attention de bien laisser 192.168.1.1. qui est le serveur par défaut si jamais le serveur DNS que vous avez choisi était inaccessible.

Cette procédure est à faire pour chaque carte réseau et est appliquée globalement pour n’importe quelle connexion.
Si jamais vous n’avez pas le programme network-admin (il doit être dans les dépôts la plupart du temps si jamais) mais bien network-manager :

  1. Allez dans network-manager. Pour GNOME 3 (Fedora 15), bouton gauche > paramètres réseau sur l’applet réseau, sélectionnez la carte réseau utilisée (wifi ou câblé par exemple) puis cliquez sur Configurer. Pour GNOME 2.6 (Ubuntu 11.04), bouton droit > modifier les connections toujours sur l’applet network-manager, sélectionnez ensuite la connexion que vous utilisez (wlan ou le nom du wifi sur lequel vous êtes connecté, allez dans les autres onglets) et cliquez sur modifier. Cette dernière fenêtre peut également être obtenue sur toute version de GNOME via la commande nm-connection-editor.
  2. Sélectionnez ensuite l’onglet IPv4 (ou IPv6 si vous avez une adresse IPv6 mais il vous faudra alors trouver des serveurs DNS compatible IPv6). Dans le menu déroulant méthode, changez le Automatique (DHCP) pour Automatique (DHCP) adresses seulement.
  3. Dans la case Serveurs DNS (désormais modifiable), entrez l’adresse IP du serveur choisi. Cliquez sur sauver pour fermer la fenêtre.

Cette méthode a l’inconvénient d’être propre à chaque connexion. Si vous vous baladez entre plusieurs wifi, vous devrez tous les configurer. Si seuls quelques wifi sont chez Belgacom ou Telenet, vous pouvez utilisez d’autre DNS uniquement pour ceux-ci.
Finalement une méthode pour tous (y compris ceux qui n’ont pas GNOME) et à ne faire qu’une fois :

  1. Ouvrez/créez le fichier /etc/resolv.conf.head avec votre éditeur favori, les droits root sont nécessaires.
  2. Entrez nameserver 0.0.0.0 (avec évidement l’adresse IP du serveur au lieu de 0.0.0.0), une seule adresse par ligne, tout ce qui est précédé par un # sur une ligne sera ignoré.
  3. Relancez votre réseau (reconnectez vous ou relancez network-manager). Vous pouvez vérifier que les changements ont bien été prit en compte en regardant le contenu du fichier /etc/resolv.conf

Dans le cas où le changement n’est pas immédiat, essayez en vidant le cache DNS avec # /etc/rc.d/nscd restart ou init.d plutôt que rc.d pour les systèmes tel qu’ubuntu qui n’utilisent pas le « BSD-style ».
Si le fichier /etc/resolv.conf ne contient pas les changements que vous venez de faire, c’est sans doute du à un conflit entre network-manager et DHCPCD. Le wiki d’archlinux explique comment résoudre le problème.

Pour Mac OsX

Et finalement, pour leopard :

  1. Allez dans les préférences systèmes depuis le menu
  2. Cliquez sur l’icône réseau
  3. Choisissez la carte réseau que vous utilisez (ethernet, wifi,…) et cliquez sur Avancé
  4. Allez dans l’onglet DNS et entrez le ou les adresses IP des serveurs choisis dans la colonne de gauche.
  5. Recommencez au point 3 si vous utilisez plusieurs cartes réseau.

PS: certaines marches à suivre son traduites de l’anglais, certains termes peuvent donc être un peu différent, n’hésitez pas à me faire remarquer toute erreur.

La cours d’Anvers a condamné les fournisseurs internet Belgacom et Telenet de bloquer le site The Pirate Bay. Ils ont 14 jours pour instaurer ce blocage au niveau des DNS.
En instaurant la censure au niveau des DNS, le client de ces opérateurs ne pourront recevoir l’adresse IP correspondant à l’URL thepiratebay.org. Cependant, là où les juges n’ont pas compris grand chose au fonctionnement de l’internet, c’est que rien n’oblige le client à utiliser les DNS de son fournisseur d’accès et donc passer outre la censure.

NURPA, l’association de protection des droits des internautes, s’inquiète de cette décision car elle crée un précédent de filtrage du web assez inquiétant.

La décision de la cour d’appel d’Anvers dans le cas BAF contre Belgacom / Telenet crée un dangereux précédent en matière de blocage de contenu par les fournisseurs d’accès à Internet en Belgique. Elle est incompatible avec la doctrine de proportionnalité défendue par la Cour européenne des Droits de l’Homme : en imposant un blocage de The Pirate Bay, la cour légitime notamment la censure de tous les contenus sous licences libres diffusés via ce site.

explique André Loconte, porte-parole de la NURPA.

J’essayerai de faire un petit tuto pour expliquer comment contrer cette décision idiote.

css.php