Le gag pas drôle de la Loi de programmation militaire
Un journal précédent en faisait déjà mention donc rien de nouveau mais je souhaitais quand même souligner l'analyse pertinente du journal Le Point et surtout la terrible ignorance des responsables de cette loi :
Le rapporteur Sébastien Pietrasanta, pour soutenir "le blocage de sites web par l'exécutif", aurait dit :
les jeunes terroristes "n'iront pas prendre l'avion" pour se connecter aux sites terroristes depuis l'étranger.
Parler de prendre l'avion pour accéder à des données """protégées""", c'est à se demander si ce monsieur possède un téléviseur ou tout autre moyen de se renseigner sur le monde d'aujourd'hui. (Bon, en fait il a un skyblog … Ceci explique peut-être cela). Sachant qu'il s'agit d'un blocage DNS, la famille Michu au grand complet, assistée du benjamin qui s'y connaît en facebook, aura vite fait de contourner cette disposition simpliste si jamais ça les intéresse. Et l'article de conclure :
Finalement, le seul effet concret de cet article 9 sera la création par le ministère de l'Intérieur d'une liste noire des sites web terroristes. Une liste qui fuitera : à l'ère de WikiLeaks et d'Edward Snowden, ce n'est qu'une question de temps. Et l'État aura constitué les marque-pages du parfait petit terroriste…
Dormez tranquilles …
# Ministère de l'Intérieur seal of approval
Posté par Renault (site web personnel) . Évalué à 9.
Une liste de sites prohibées certifiée par l'État français avec le sceau officiel du Ministère de l'Intérieur, on en rêvait et on l'a non ?
Ça va être rigolo, j'espère aussi que les pays voisins seront heureux d'avoir une telle liste accessible !
[^] # Re: Ministère de l'Intérieur seal of approval
Posté par zurvan . Évalué à 10.
sur le sceau (sot ?) ça sera marqué « Je suis Charlot ».
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: Ministère de l'Intérieur seal of approval
Posté par jigso . Évalué à 7.
un nouveau label "PUR" ?
# Re:
Posté par Tonton Benoit . Évalué à 10.
Hier Mediapart à publié un article sur la surveillance des terroristes. Surveillés électroniquement, ils ont déjoués la vigilance des services de renseignement de la façon la plus bête qu'ils soit : ils sont frères, ils vivaient ensembles.
Bref continuons a filtrer internet et surveiller tout le monde, mais on les attrapera pas de cette façon.
Concernant les usages d’internet, les djihadistes n'ont pas besoin de sites à eux vu qu'ils utilisent les réseaux sociaux. À quoi ça sert d'avoir un site pour diffuser ses vidéos quand tu sait que tu peut la poster sur youtube, ou elle ne survivra peut-être que 5 minutes mais tournera déjà en boucle sur les chaînes TV du monde entier.
Quant à cette phrase, elle résume tout le problème :
Nos politiques ont le même niveau en informatique que Jean-Paul Ney et ça c'est un gros problème !
[^] # Re:
Posté par Renault (site web personnel) . Évalué à 9.
Note qu'il y en a un, je ne sais plus lequel, qui a dit ce week-end qu'il est possible de censurer le discours des djihadistes, il suffisait de faire comme les chinois !
Bon, ok la Chine est je pense d'un bon niveau pour la censure (mais défendre la liberté d'expression et s'inspirer de la Chine dans le domaine, est-ce cohérent ?) mais ils semblent avoir du mal à comprendre que malgré toute l'expertise de la Chine sur le sujet, c'est un vrai gruyère pour qui sait suivre un petit tuto sur les VPN, proxy et autres.
Il n'y a pas des formations dispensées aux députés et sénateurs pour les aider dans leurs tâches ?
[^] # Re:
Posté par harryinspector . Évalué à 10.
Je crois qu'il y a un gros problème de compréhension de la politique sur linuxfr. Le principal pour le politique, ce n'est pas d'être exact, réaliste, pertinent, etc. Le principal, c'est que les arguments exposés aient un impact sur la population.
Le politique se contrefout des VPN, des firewalls, de Tor. Il sait juste que quand il dit que les djeuns n'iront pas prendre le train pour se connecter à internet, cela sera perçu comme du bon sens par la population qui regarde la télé. Ca lui suffit.
[^] # Re:
Posté par Renault (site web personnel) . Évalué à 10.
Donc on doit trouver ce genre de propos normal et laisser faire ?
J'ai une autre conception de la démocratie pour ma part.
[^] # Re:
Posté par dyno partouzeur du centre . Évalué à 5.
Tu confonds la politique et la démocratie.
La politique a pour unique but de garder son poste de ministre, de se faire réélire député, de faire croire aux gens crédule qu'on est utile et efficace, etc.
[^] # Re:
Posté par khivapia . Évalué à 10.
Ça c'est un politicien. Un homme politique se soucie du bien commun quand il est au pouvoir, quitte à y perdre sa réélection le cas échéant.
[^] # Re:
Posté par Thomas Douillard . Évalué à 3.
En même temps il risque de perdre contre quelqu'un qui n'aura pas les mêmes scrupules et défera méticuleusement tout ce qu'il a fait, donc un homme politique est forcément un peu politicien :)
[^] # Re:
Posté par totof2000 . Évalué à 5. Dernière modification le 13 janvier 2015 à 22:38.
Ben tu sais bien qu'un élu, c'est un élu :
- il sait mieux que toi ce que tu dois faire, dire ou penser.
- il sait mieux que toi ce qui est bien pour toi, et pour ta famille, qui d'ailleurs lui appartient (oui, pour certains les enfants appartiennent à la France, donc leur appartiennenet tant qu'ils sont élus)
- il ne se trompe jamais, mais alors jamais.
- quand il y a un problème sur ses décisions, ce n'est pas sa décision qui est mauvaise, mais ceux qui l'ont appliquée, ou alors c'est toi qu te trompes (voir point plus haut)
- les élus sont tellement compétents, connaissent tellement tout à tout qu'ils sont majoritairement issus de la fonction publique et ont été formés à des écoes d'administration, là ou on apprend à qqn ce qu'est la vraie vie (parce que ceux qui viennent du "monde réel n'y connaissent rien ; ya qu'a voir comment ils vivent dans leurs banlieues pourries, comment des chefs d'entreprises véreux profitent du système pour s'en mettre plein les poches ou mettre leurs boites en faillite. D'ailleurs, regarde l'Etat : ça c'est un exemple : toujours en expansion malgré la crise, toujours des rentrées d'argent de plus en plus importantes alors que les "basses gens" ne sont pas capable d'économiser pour se faire refaire les dents, et en plus de ça ils osent porter des lunettes pour se la pêter - et ceux qui gagnent beaucoup sont même pas capables d'économiser pour payer leurs impôts).
(Bon j'arrête …).
[^] # Re:
Posté par khivapia . Évalué à 2.
Là tu parles d'élus français, heureusement ce n'est pas toujours le cas dans tous les autres pays démocratiques.
[^] # Re:
Posté par karteum59 . Évalué à 10. Dernière modification le 14 janvier 2015 à 02:05.
Pour y aller tous les ans: je pensais ça aussi… jusqu'à ce que je réalise qu'en juin dernier (anniversaire des événements de Tiananmen) tout était vraiment bloqué: plus de 8.8.8.8, plus de OpenVPN (même vers mon VPS perso ou vers des freebox, même en TCP sur le port 443 pour faire croire que c'est du HTTPS…), plus de PPTP, etc. Ils ont clairement amélioré leur niveau de DPI. Je pense qu'ils laissent une "soupape" en laissant tranquille les utilisateurs de VPN en temps normal, ça permet de ne pas frustrer trop de gens et de garder la face en maintenant malgré tout 80% des gens derrière le grand firewall (le simple fait de ralentir ou faire bugger Google suffit à encourager la plupart des gens à utiliser Baidu). Mais je pense aussi qu'ils savent désormais assez bien filtrer VPN et proxys lorsqu'ils le souhaitent… (e.g. en faisant une analyse statistique sur la taille et la fréquence des paquets pour deviner que c'est du VPN et pas du HTTPS)
[^] # Re:
Posté par FDF (site web personnel) . Évalué à 5.
L'expérience locale confirme ce fait.
Parfois on arrive assez bien à passer, parfois c'est plus dure. Et ce que j'ai trouver de plus efficace pour le moment, c'est de noyer les paquets dans un flux de données provenant de Chine (streaming vidéo). Statistiquement, mais paquets interessants sont moins nombreux.
Pourtant le filtrage est parfois très surprenant (je ne parle pas de VPN), mais de site. Le Monde est bloqué depuis des années, alors que Le Figaro est en général accessible. Marmitton.org est une gualère ( même en bloquant les requètes vers Google [ça c'est un péalable au surf tranquile en Chine]).
Les sites d'informatiques sont souvant assez bloqués, mais les sites d'extremistes islamistes je ne sais pas car je ne les regarde pas…
Donc on voit bien que coexiste plusieurs mode de filtrage, parfois très fin, parfois juste brutale.
[^] # Re:
Posté par Maclag . Évalué à 5.
Je confirme, j'y ai passé plusieurs mois à la fois en 2014, et il y a un avant et un après juin 2014.
Beaucoup de VPN payants ont été bloqués. Ceux qui restent ont dû passer des accords avec les autorités.
J'avais pour habitude d'utiliser VPNGate, et bien ils bloquaient rapidement et systématiquement tous les serveurs.
Il était vraiment temps de partir…
[^] # Re:
Posté par karteum59 . Évalué à 5. Dernière modification le 15 janvier 2015 à 00:16.
Pour ma part j'ai mon propre VPS OpenVZ chez un hébergeur. ça me revient moins cher (10$/an !) que la plupart des offres de VPN et je suis libre de faire ce que je veux sur mon IP publique (openvpn, pptp, ssh, iodine, etc. à l'exception de tor). J'avais jusqu'à présent moins de problème que les VPN commerciaux (j'imagine que le censeur se contentait de bloquer les IP des principaux fournisseurs de VPN lorsqu'il voulait fermer le robinet, donc mes VMs échappaient à la censure), mais depuis juin c'est clairement du DPI plus sophistiqué :(.
Je ne suis pas en Chine pour le moment et je ne sais pas trop ce que ça donne maintenant, mais j'espérais qu'ils rouvriraient un peu le robinet progressivement. D'après ton post "il y a un avant et un après" je comprends que ce n'est pas le cas…
N.B. j'ai récemment découvert que OpenSSH intégrait un mode VPN TUN apparemment similaire à ce que fait OpenVPN (c'est peut-être une évidence pour tout le monde, mais je n'ai découvert que récemment. Avant je ne connaissais que les redirections de ports simples -R/-L. Attention: ça ne marche qu'avec l'implémentation OpenSSH et pas avec Dropbear) ! C'est probablement pas optimal (TCP over TCP) mais il faudra que je réessaie à mon prochain passage vu que le ssh "pur" n'était pas bloqué en juin dernier (heureusement sinon j'aurais galéré pour administrer mes machines !).
[^] # Re:
Posté par jyes . Évalué à 4.
De toute façon, SSH c’est l’outil de crochetage réseau ultime, même ce qu’il ne fait pas, il permet de l’encapsuler. Avec netcat ou sa « nouvelle » (plus tant que ça) option « -W », il permettait déjà de faire passer n’importe quoi, n’importe comment. Après c’est vrai que les clients et serveurs OpenSSH fournissent déjà tellement de choses (VPN tun, Proxy SOCKS, etc…) qu’ils sont souvent suffisants. De plus, ils sont tellement courants et utilisés, que c’est difficile de les interdire complètement sur un réseau de grande taille, du coup, ils permettent de passer quasiment tous les blocages.
Quant à la Chine, je n’ai pas essayé récemment (n’y vivant pas j’avais mis en place des portes de sortie pour des camarades expatriés là-bas, mais ils ne les utilisent plus). Si ça se trouve, même cela ne passe plus.
[^] # Re:
Posté par Faya . Évalué à 1.
Plusieurs commentaires ci-dessus, dont le tien parlent de "DPI plus sophistiqué qu'avant". Pour moi qui ne suis pas admin professionnel j'ai du mal à comprendre de quoi vous parlez. Je voudrais bien quelques explications svp.
Jusqu'à maintenant je pensais que le Deep Packet Inspection permettait, plutôt que de simplement filtrer les protocoles/ports, d'observer le contenu des paquets. Chose inutile lorsqu'il s'agit de paquets dont le contenu est chiffré. Tu précises même plus haut qu'ils bloquent même lorsque les paquets passent en "TCP sur le port 443 pour faire croire que c'est du HTTPS".
Est-ce que ça veut dire qu'ils ont une capacité d'analyse si fine (et si large au regard de l'échelle) qu'ils peuvent déterminer qu'un paquet chiffré contient en fait autre chose que du HTTPS ? Et ça à l'échelle d'un pays entier (donc on ne parle pas de la NSA qui espionnerait/analyserait un internaute/flux en particulier) !?
Comment ça marche ? J'ai peur.
[^] # Re:
Posté par Tonton Benoit . Évalué à 5.
Je pense plutôt à de l’analyse du traffic.
En HTTPS tu a en général une requête DNS en clair puis plusieurs connections chiffrées, généralement plutôt petites vers l'IP retournée. Avec un VPN et tout qui passe à l’intérieur, on peut aussi essayer de deviner le type de données qui passent dedans en analysant la taille des paquets et de leurs réponses (négociation de connexion openvpn, requête et réponse DNS…)
Aucune idée si ces techniques peuvent être considérée comme du DPI ou non.
Ce serai bien d'essayer, en période de forte censure de tromper le firewall. Genre se connecter en HTTPS direct sur une IP (sans passer par la résolution DNS) et uploader/downloader à même temps un gros fichier sur ce serveur pour simuler une connexion encapsulée.
Même chose dans l'autre sens, se connecter en VPN sur le port 443 d'un serveur, mais faire une requête DNS qui retourne l'adresse du serveur avant pour voir si le firewall bloque de suite la connexion (identification de l’emprunte du VPN) ou non.
[^] # Re:
Posté par karteum59 . Évalué à 4.
On ne va pas pinailler sur les mots ("DPI" vs "analyse de trafic" vs …). Tout ce que je veux dire, c'est qu'ils arrivent à deviner que ce n'est pas du HTTPS à partir des métadonnées en clair (il est possible de faire des analyses statistiques sur la taille/fréquence/destination/port des paquets et faire des déductions à partir de ça. Je ne serais pas surpris non plus qu'ils maintiennent des greylist/blacklists des IP destinations et surveillent différemment suivant la manière dont ton serveur est flaggé…). Ce n'est pas du déchiffrement => tant que ton VPN "passe", ils ne peuvent toujours pas lire ce qu'il y a dedans car la crypto elle-même reste sûre à ce jour.
Note qu'en revanche, la question du déchiffrement/MITM du HTTPS se poserait si une autorité de certification reconnue par ton navigateur s'avérait compromise. Le modèle hiérarchique de sécurité de SSL a ses limites…
[^] # Re:
Posté par Faya . Évalué à 1.
Ok, pas de pinaillage c'est juste que je ne m'y connais pas.
Merci pour les infos et je préfère effectivement que rien ne passe parce qu'ils filtrent plutôt que ça passe tout en étant déchiffré …
[^] # Re:
Posté par eingousef . Évalué à 10.
Ben quoi ? Il a raison ! Puisqu'il suffit de changer de dns !
*splash!*
[^] # Re:
Posté par Marotte ⛧ . Évalué à 3.
Si l'état impose des DNS menteurs aux FAI et que pour des raisons quelconques les FAI fassent du zèle ils pourraient très bien fournir une liste à l'état de leurs abonnés qui n'ont pas interrogé le « bon » DNS depuis un temps T…
[^] # Re:
Posté par Sufflope (site web personnel) . Évalué à 8.
Moi tant qu'ils embarquent les cadavres de bibines et qu'ils passent la serpillère après avoir visité mon appart' de célibataire joueur de WoW, je suis d'autant plus motivé à continuer à faire interroger les racines directement à mon serveur DNS à la fois autoritaire pour mes domaines et récursif pour mon réseau local (j'espère avoir provoqué un AVC à Bortz et Tanguy par cette dernière précision).
[^] # Re:
Posté par dyno partouzeur du centre . Évalué à -1.
Ou blocker le port 53 comme le port 25 est déjà bloqué chez certains….
[^] # Re:
Posté par claudex . Évalué à 4.
Ou le nater sur leur serveur directement.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re:
Posté par devnewton 🍺 (site web personnel) . Évalué à 10.
Il faut adopter une politique de l'enfant unique! Ça marche bien en Chine: les quotidiens satyriques chinois ne sont pas visés par des terroristes!
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re:
Posté par Renault (site web personnel) . Évalué à 4.
Qu'en sais-tu ? Comme pour Charlie Hebdo au départ, ils ont essayé mais ils n'ont pas trouvé les bâtiments.
[^] # Re:
Posté par Pol' uX (site web personnel) . Évalué à 4.
En tout cas, ils ne sont pas visés par des frères terroristes.
Adhérer à l'April, ça vous tente ?
[^] # Satyre !
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 8.
Les quotidiens satyriques, ce sont ceux qui parlent de DSK ?
[^] # Re: Satyre !
Posté par eingousef . Évalué à 6.
ce sont ceux qui pratiquent la politique de l'enfant qu't'unique
/o/
*splash!*
# De l'arbitraire, oui, mais attention, pas plus de 108 fois par an ???
Posté par Tonton Benoit . Évalué à 10. Dernière modification le 13 janvier 2015 à 23:37.
Autre décret, autre bourde. La résurrection des RG sous le nom de "Service central de renseignement territorial". Déjà passons rapidement sur la mission de ce service, qui semble bien vaine quand le pays fait face à du vrai terrorisme :
Non, mieux, les 3000 agents du SCRT auront droit à 108 écoutes administratives par an. Sinon faut demander gentiment au CNCIS avant, ou mieux ouvrir une vraie enquête et demander à un vrai juge (quoi-que, les juges antiterroristes…), seul garant du respect des libertés individuelles aux yeux de la CDEH.
Voilà les libertés individuelles soumises à des quotas de pêche maintenant…
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.