Home » Comment ça marche, Idioties, Legislation

Copwatch

10 octobre 2011 2 012 vues 18 commentaires
tags : , , , ,
Download PDF

Crédit photo : Ian Britton

Mercredi matin, vers 10h, se tiendra une audience au TGI de Paris concernant le filtrage du site copwatchnord-idf.org.

Je ne m’étendrai pas sur les malversations policières, celles dont j’ai pu être victime ou témoin n’ont jamais dépassé le stade de la palpation insistante et des petites phrases humiliantes à 2 sesterces qui ont plutôt tendance à desservir l’image générale des forces de l’ordre qu’autre chose.

Il y a probablement aussi un risque non négligeable de dérives dans les initiatives type copwatch, il faut bien le reconnaître.

Mais la n’est pas la question, non, je voulais vous parler de l’assignation.

Le ministère justifie l’assignation de quelques uns des centaines de FAI du pays par le fait que le webmaster de ce copwatch ne respecte pas la loi du 21 juin 2004 en n’indiquant pas l’adresse de l’hébergeur. On conçoit aisément que cette obligation n’a nullement une portée mondiale, et elle n’est de toute façon pas respectée par la majorité des sites français. Passons.

Selon l’assignation, on ne peut donc pas connaitre l’hébergeur avec certitude, et donc on ne peut pas tenter de l’assigner, ni même de le contacter pour voir si, par hasard, il ne serait pas enclin à coopérer pour faire cesser le trouble, si trouble avéré il y a.

Mon resolver DNS me dit le contraire :

$ dig www.copwatchnord-idf.org
[...]
;; ANSWER SECTION:
www.copwatchnord-idf.org. 3598 IN A 204.13.164.131

En répétant plusieurs fois l’opération et depuis divers resolvers, j’obtiens toujours la même information, signe que le site est bien abrité uniquement par cette IP. Un simple whois sur cette IP nous apprend qu’elle se trouve utilisée par un opérateur sur le territoire des USA :

$ whois -a 204.13.164.131
[...]
SWIFT VENTURES Inc SWIFTV-FIRSTBLOCK-2004 (NET-204-13-164-0-1) 204.13.164.0 – 204.13.167.255
Riseup Networks RISEUP-NETWORKS-SWIFT-BLOCK2 (NET-204-13-164-0-2) 204.13.164.0 – 204.13.164.255

$ whois -a NET-204-13-164-0-1
NetRange: 204.13.164.0 – 204.13.167.255
CIDR: 204.13.164.0/22
OriginAS:
NetName: SWIFTV-FIRSTBLOCK-2004
NetHandle: NET-204-13-164-0-1
Parent: NET-204-0-0-0-0
NetType: Direct Allocation
RegDate: 2005-04-21
Updated: 2005-04-21
Ref: http://whois.arin.net/rest/net/NET-204-13-164-0-1

OrgName: SWIFT VENTURES Inc
OrgId: SWIFTV
Address: 2001 Sixth Avenue
Address: Suite 2222
City: Seattle
StateProv: WA
PostalCode: 98121
Country: US
RegDate: 2002-06-26
Updated: 2008-10-04
Ref: http://whois.arin.net/rest/org/SWIFTV

ReferralServer: rwhois://rwhois.swiftco.net:4321

OrgAbuseHandle: HG234-ARIN
OrgAbuseName: Goss, Henry
OrgAbusePhone: +1-206-728-2736
OrgAbuseEmail: abuse@swiftco.net
OrgAbuseRef: http://whois.arin.net/rest/poc/HG234-ARIN

OrgTechHandle: ABU30-ARIN
OrgTechName: bunjamin, andry
OrgTechPhone: +1-866-794-3826
OrgTechEmail: andry@swiftco.net
OrgTechRef: http://whois.arin.net/rest/poc/ABU30-ARIN

RAbuseHandle: HG234-ARIN
RAbuseName: Goss, Henry
RAbusePhone: +1-206-728-2736
RAbuseEmail: abuse@swiftco.net
RAbuseRef: http://whois.arin.net/rest/poc/HG234-ARIN

$ whois -a NET-204-13-164-0-2
NetRange: 204.13.164.0 – 204.13.164.255
CIDR: 204.13.164.0/24
OriginAS:
NetName: RISEUP-NETWORKS-SWIFT-BLOCK2
NetHandle: NET-204-13-164-0-2
Parent: NET-204-13-164-0-1
NetType: Reassigned
RegDate: 2006-11-30
Updated: 2011-05-16
Ref: http://whois.arin.net/rest/net/NET-204-13-164-0-2

OrgName: Riseup Networks
OrgId: DEW
Address: PO Box 4282
City: Seattle
StateProv: WA
PostalCode: 98194
Country: US
RegDate: 1993-11-23
Updated: 2011-09-24
Ref: http://whois.arin.net/rest/org/DEW

Chez un opérateur Swift Venture qui fournit de la connectivité à un client dénommé Riseup Networks, situé à Seattle, le tout avec au moins 3 contacts possibles et le nom d’un opérateur qui est loin d’être obscur et planqué.

Et mon petit whois m’apprend même que le nom de domaine a été reservé chez un registrar français, réservation qui a nécessairement donné lieu à une transaction financière donnant la possibilité de remonter à minima jusqu’à la personne qui a réservé le nom de domaine :

$ whois copwatchnord-idf.org
[...]
Domain ID:D163376664-LROR
Domain Name:COPWATCHNORD-IDF.ORG
Created On:20-Sep-2011 14:26:17 UTC
Last Updated On:20-Sep-2011 14:26:18 UTC
Expiration Date:20-Sep-2012 14:26:17 UTC
Sponsoring Registrar:Gandi SAS (R42-LROR)

Pour travailler presque quotidiennement avec eux, je vous assure que ce registrar est loin d’être injoignable. On peut même leur parler sur twitter.

Ensuite, l’assignation donne une liste d’url à filtrer. Comment ? Osef, faut filtrer.

Comment filtrer certaines URL d’un site ? C’est assez simple.

Vous devez dans un premier temps dérouter le trafic en provenance de l’adresse qui héberge le site. Pour faire ça, vous êtes obligé de rassembler tous les inducteurs de trafic (les internautes du FAI) sur un ou plusieurs équipements qui ira dialoguer avec le serveur hébergeant copwatch. C’est ce qu’on appelle vulgairement un proxy transparent. En gros, le visiteur va parler au proxy qui va lui même parler au serveur et contrôler ce qui passe dans les deux sens.

A ce niveau d’intrusivité, on ne parle même plus de DPI. C’est carrément une usurpation d’identité caractérisée dans le but d’écouter et de modifier les données transmises.

Petite particularité du site copwatch, il est en https, donc il faut que ce proxy transparent sache le gérer, voire, si le certificat de copwatch était valide, qu’il dispose d’un certificat valable pour ce site, ce qui n’est pas une mince affaire, même si on se doute qu’une personne aussi puissante qu’un gouvernement doit avoir des certificats SSL root valables à disposition.

Il est bien entendu exclu de faire passer l’ensemble du trafic du FAI dans ce genre de dispositif, il faut donc, au choix, appliquer ce filtrage dans les box, ce qui exclut de facto les abonnés utilisant d’autres modems ADSL du dispositifs, soit dérouter le trafic spécifique à l’IP hébergeant copwatch via une injection BGP qui sera d’une flagrante inefficacité si l’IP du site change, puisque BGP ne sait pas parler avec des noms de domaine. Il est donc nécessaire de vérifier régulièrement si l’IP n’a pas changé.

Mais surtout, le plus croustillant, c’est vers la fin, où notre cher ministre souligne qu’il y a urgence puisque les nouvelles vont vite sur internet et qu’il convient donc de faire rapidement cesser le trouble… Qu’il a lui même créé, avec, ne nous voilons pas la face, une grande aide de nos amis journalistes.

Quelques réflexions à présent :

  • Qui connaissait ce site la semaine dernière ? Qui connaissait ne serait-ce que le principe des copwatch ?
  • Qui serait tenté d’aller tirer (pour de vrai) une cartouche de chasse chez un gardien de la paix et qui ne serait pas capable de contourner une censure imposée à une poignée de FAI ?
  • Combien de sites miroirs ont été préventivement créés depuis une semaine ?
  • Combien en seront créés si le filtrage est effectivement ordonné par le juge mercredi ?
  • En bref, quel est le retour sur investissement de ce genre d’opération ?
Je vais vous le dire, où est le retour sur investissement. « Si vous pouvez le faire pour les copwatch et les pédophiles, vous pouvez le faire pour [...] » (je vous laisse remplir vous même les [...], soyez imaginatifs !)

18 Comments »

  • Benjamin said:

    Spyou, j’ai une petite réponse : les seules véritables raisons possibles pour ce tapage sont (par ordre de probabilité décroissante estimée par un une connection sur une ipv6 bien connue de tous les geeks, à savoir 0::1 dite « ip du doigt mouillé ») :

    * ils ne savent rien de tout cela et n’ont contacté personne de compétent avant de lancer tout ce bazar juridique

    * ils ne veulent rien savoir, c’est juste que ça fait bon de défendre les policiers en tant que ministre de l’intérieur, et surtout ça montre qu’il y a beaucoup d’insécurité dans ce pays ma bonne dame, il faut plus de vidéosurveillance ^W vidéoprotection pour nous protéger de ces pédo-terro-nazi-dunet …

    bref, on n’est pas rendu…

    Je suis pas sûr que l’idée de leur expliquer servira à quelque chose …

    … J’ai comme dans l’idée que attendre qu’ils meurent paisiblement et laisser la prochaine génération sera plus efficace … non ? ;)

  • Bruno (author) said:

    La génération suivante arrivera quoi qu’il advienne .. donc c’est pas interdit de tenter d’accélérer les choses.

    Sauf à tomber par hasard sur une technique prodiguant l’immortalité (ce serait vraiment pas d’bol), au pire j’perd un peu mon temps et j’augmente mon crédit vulgarisation :)

  • Benjamin said:

    Mais jusqu’où s’arrêteront-ils ?

    Déprime …

  • Vincent said:

    « même si on se doute qu’une personne aussi puissante qu’un gouvernement doit avoir des certificats SSL root valables à disposition. »

    La, je me permet de mettre mon bémol.

    D’abord parce que la racine de l’état français (l’IGA) n’est, je crois, toujours pas dans nos navigateurs. On a bien Certinomis, mais c’est encore du privé pour l’instant.

    Ensuite parce qu’aucune société ne se risquera à émettre un faux certificat pour un état. On a vu Diginotar qui a émis NON volontairement un certificat utilisé pour ce genre d’attaque MITM par l’Iran. Résultat: retrait des certificats racine par tous les navigateurs, et dépôt de bilan en trois mois. Imaginez la vitesse à laquelle la chose se produirait si la société était complice au lieu d’être simplement incompétente…

    Je peut certifier que très peu de sociétés commerciales se livreront à un suicide public parce qu’un état leur a demandé de tricher. La première chose sera d’utiliser tous les moyens légaux pour empêcher ça, et le plus longtemps possible.

  • tui said:

    Quand on va sur https://copwatchnord-idf.org/ FF ne reconnait pas le certificat et demande de l’accepter. Je penche pour un certificat auto-signé.
    Le certificat root va juste enlevé cette demande lors d’une première connexion il me semble, non ?
    Et comme vous le dites, il me semble que DADVSI permet de joindre l’hébergeur (qui doit être jogniable) et qui a l’obligation de donner l’identité du tenant du site (le gars a bien du payer). Bref, en un jour on arrive à l’hébergeur et à l’identité bancaire du gars et après on remonte si on peux au gars ou on coupe le site pour non respect de la loi DADVSI …

    Là le ministre de l’intérieur, il ne connaît rien et le garde de sceau ne le remet même pas à sa place.

    Quand je fais un whois sur la toile j’apprends que le gars habiterais Avenue des Champs Élysée à Paris, sûrement du pipeau, mais l’hébergeur lui son adresse est réelle.

    Sinon, je ne connaissais pas ce site la semaine dernière et comme disait Frédérique Mitterand dans son discours de Défense d’HADOPI lever le voile de l’anonymat évite les tentations que donnerait le sentiment d’impunité. Ceci concerne aussi bien le quidam que le politique mais ces derniers doivent être le plus effrayés.

    Les information que publie ce site sont en partie publier par les réseaux sociaux, cela devraient en faire réfléchir quelques uns??

    Si après il permet d’éviter les dérapages policiers, d’accord (un flic ne doit faire de menace de mort et utiliser la violence plus que nécessaire). Mais si le site permet de liste de futur tableau de chasse ou autres, non. Pour l’instant ce n’est pas avéré.

    Après certaines vidéos de violences policières n’en sont pas pour moi. On arrête pas des gens en leur demandant poliment si ils veulent bien. Charge aux autorités de le faire de manière proportionnelle. Un journaliste ou quidam accusé de diffamation ne s’arrête pas à 6 heures du matin comme un mafieux.

    Ce site devrait être l’occasion à la police d’être plus déontologique.

  • Bruno (author) said:

    Je ne sous-estimerai pas les capacités d’un état du G8 de ce coté, mais de toute façon, ce genre de chose ne serait probablement pas utilisé dans le cas qui nous occupe, il est vrai :)

  • obinou said:

    Vincent: Moi ça ne me parait pas impossible, au moins aux USA:
    http://files.cloudprivacy.net/ssl-mitm.pdf , http://www.wired.com/threatlevel/2010/03/packet-forensics/ : Leurs lois anti-terroriste leur permet de soumettre une société comme Verisign en les obligeant à garder le secret.

    Je ne sais pas si la France dispose de moyens similaires – après tout on est cul et chemise avec les USA… – mais à mon sens c’est tout a fait possible qu’un accord ait été négocié avec au moins l’une des grandes société de root-CA.
    (Ils n’ont pas besoin de plus d’une seule société de root-CA)

    DigiNotar s’est crashé en flamme non seulement parcequ’ils ont subi cette brèche, mais surtout parce qu’ils ont réagit en tentant de masquer et minimiser l’affaire.

    D’autres ont subi des attaques équivalentes (Comodo) et une bonne communication avec les équipe des navigateurs leur a permis de sauver la face.

    Pour moi la seule façon de contourner ça c’est de remettre en cause la logique de certification, par exemple via les services de notaires:
    http://convergence.io/ , http://perspectives-project.org/ .

  • Benjamin Bayart said:

    Tu peux partir d’un constat simple et efficace: s’ils ne savent pas, c’est qu’ils ne veulent pas savoir. Je connais au moins personnellement 5-6 personnes à l’OCLCTIC ou à l’IRCGN, ou à la DCSSI, qui savent suivre le même chemin que toi, et il y a en probablement 50 ou 100 que je n’ai pas encore rencontré.

    Les services de police et de gendarmerie spécialisés savent sortir cette information aussi bien que toi. Donc, le ministre sait tout ce qu’il veut savoir.

    En l’occurrence, il cherche donc, soit à se faire bien voir de ses troupes (peu probable, en fait), soit à créer un précédent sur le filtrage, l’impossibilité technique n’étant pas un problème.

    Enfin, le gouvernement français dispose bien d’une autorité de certification admise par les navigateurs courants (au moins par mon firefox, donc tiré de la liste des certificats de Debian), c’est le certificat de la Direction des Informations Légales et Administratives (journaux officiels). Je n’ai pas le courage d’aller fouiller pour savoir si oui on non cette autorité serait admise pour signer un domaine hors de gouv.fr.

  • parking said:

    « Et mon petit whois m’apprend même que le nom de domaine a été reservé chez un registrar français, réservation qui a nécessairement donné lieu à une transaction financière donnant la possibilité de remonter à minima jusqu’à la personne qui a réservé le nom de domaine »

    Gandi permettant de payer par Paypal, la transaction financière risque d’être difficile à remonter. Je propose ce scénario lu sur Numerama :

    « J’envoie par la poste 30 dollars à un de mes cousins qui habite aux USA. Je lui demande d’aller dans une ville canadienne à 200 km, de trouver quelqu’un au hasard dans un cybercafé qui contre 20 dollars de « salaire » accepte d’ouvrir un compte Paypal et d’y déposer 10 dollars avec sa CB.
    Ensuite, par un VPN taïwanais, j’utilise ces 10 dollars sur le compte Paypal pour acheter un nom de domaine chez Gandi.
    Quelles sont les chances pour la police française de trouver ma trace ? Quels sont les moyens techniques, légaux et financiers qu’il faudrait mettre en oeuvre pour faire le lien entre une CB d’un canadien anonyme et moi ? Combien de commissions rogatoires auprès des justices françaises, américaines, canadiennes et taïwanaises ? Combien de perquisitions auprès d’intermédiaires techniques et de banques ? Et tout ça pour quoi ? « 

  • Benjamin said:

    Cette histoire de certificat ne tiens pas la route :

    si une CA reconnue signe une autre paire de clés et produit donc un certificat valide pour le même nom de domaine, ce certificat ne signera pas, pour autant, de clé ayant le même hash SHA1/MD5. Donc on le verra, donc c’est mort.

    la seule possibilité pour une CA de signer un truc faux, c’est quand le MITM va cibler un nombre très faible d’utilisateurs, qui ne seraient pas à même de s’en rendre compte.

    cf https://twitter.com/#!/telecomix/status/123427497760141312 et suivants.

  • Bruno (author) said:

    @parking : et la personne aurait pris un nom de domaine chez Gandi plutôt que chez n’importe quel registrar américain au risque de se voir bloquer le nom de domaine par une justice française un peu oléolé ? J’y crois pas.

    Comme l’a dit Benj, ils ont juste pas voulu suivre cette voie pourtant simple pour régler le problème et veulent créer un précédent sur le filtrage et/ou se faire bien voir des biens pensants.

    @Benjamin : c’est pas Mme Michu qui ira vérifier le SHA1/MD5 du certif du copwatch lambda, imho … Mais ça reste vrai, oui ;)

  • Bib said:

    En meme temps si ils ont fait la bourde de prendre ca chez gandi et avec leur vraie CB (quoi que dans les grandes villes de par chez nous y’a des cartes anonymes et rechargeables dans les bureau de tabac!) il serait temps qu’ils bougent le domaine de là….

  • JL said:

    Merci de ces explications techniques.
    Pourquoi par exemple la justice francaise ne s’adresse t elle pas à la justice américaine contre l’hébergeur américain?
    Car un fonction du premier amendement ils refuseront, la justice américaine ne suivra pas.

  • Vincent said:

    Le moyen de filtrage le plus simple n’est-il pas de demander aux FAI de ne plus résoudre le nom de domaine ?!

    Tu vas chercher loin dans tes explications, je pense que 99% des internautes seront incapables d’en changer tout simplement, et donc que le site deviendra « invisible » par les internautes français.

    Cordialement

  • Bruno (author) said:

    @Vincent : ce n’est pas moi, c’est le ministère qui a requis le filtrage partiel du site. Au final, à la lumière de la défense des FAI, le juge a ordonné le blocage complet car plus simple, effectivement :)

    Quant à l’invisibilité, c’est sans compter l’effet Streisand qui, non content de créer des copies innombrables du contenu, assure également :
    – Sa ré-indexation par google (essaie une requête sur « copwatch nord idf », les 3/4 de la première page évoque les moyens détournés d’accéder au contenu et on trouve des miroirs dès la seconde)
    – La publicité virale pour le site, ce qui, mécaniquement, attire des visiteurs

    Le tout étant réalisé en amont du jugement et de sa signification aux FAI, le gros des internautes aura consulté le site AVANT qu’il soit filtré et pourra continuer d’accéder au contenu après.

  • howimboe said:

    A quand la prochaine étape, le blocage par les sites de référencement (exemple google, yahoo, bing…). Si pas de référence, et plus de domainname, plus d’accès :p

    Evidemment Google et autres sont aux US donc pas facile mais bon :)

  • Bruno (author) said:

    @howimboe : Google retire déjà des références de son moteur, et parfois sur simple demande sans injonction judiciaire, mais une par une, et l’effet Streisand en créera plus vite que ce que les autorités arriveront à faire retirer du cache …

  • Fred said:

    Sont-ils cons ? : Non.
    Qu’on le croit les arrangent.

    Mais comme ils ne le sont pas, il savent donc que le filtrage est quasi impossible.

    Donc ça sert à quoi, a part faire de la pub à Copwatch !

    Peut-être sont-ils d’accord avec ce que fait Copwatch, sans bien sûr pouvoir l’admettre ?

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.


huit − 4 =