Chrome de Google, attention à vos droits !

Chrome, je pense que presque tout le monde le sait, est le nouveau navigateur développé par google. Il est rapide, sécurisé, simple d’utilisation et surtout pratique pour Google !

Si l’on prend la peinde de lire la licence de Chrome (qu’il est nécessaire d’accepter pour utiliser le logiciel) on découvre des choses hallucinantes :

Vous conservez les droits d’auteur et tous les autres droits en votre possession vis-à-vis du Contenu que vous fournissez, publiez ou affichez sur les Services ou par le biais de ces derniers. En fournissant, publiant ou affichant le contenu, vous accordez à Google une licence permanente, irrévocable, mondiale, gratuite et non exclusive permettant de reproduire, adapter, modifier, traduire, publier, présenter en public et distribuer tout Contenu que vous avez fourni, publié ou affiché sur les Services ou par le biais de ces derniers.

Comment dire simplement, vous donnez un droit d’usage illimité à Google sur l’ensemble des documents et textes passant par le navigateur. Imaginons par exemple que JK Rowling envoie la suite cachée de Harry Potter par webmail à son éditeur en utilisant Chrome. Elle accorde donc gratuitement à google le droit de traduction, publication de l’ouvrage. Pratique !

Mais rassurons-nous en lisant la fin de cette article 11.1 :

Cette licence a pour seul but de permettre à Google d’afficher, de distribuer et de promouvoir les Services et peut être révoquée pour certains Services, selon les dispositions des Conditions supplémentaires applicables à ces Services.

Je suis tout rassuré d’un coup.

Journée utilisateurs du Netfilter Workshop

La journée utilisateurs du Netfilter Workshop aura lieu à Paris le 29 septembre 2008. Cette journée prendra la forme d’une série de conférences sur Netfilter. Les sujets seront variés allant de la description de l’utilisation de Netfilter chez un ISP dannois à la présentation par David Miller (maiteneur de la couche réseau de Linux) ou Patrick McHardy (Leader du projet Netfilter) de leurs derniers développements.

Je donnerai d’ailleurs lors de cette journée une conférence sur ulogd2, la nouvelle infrastructure de journalisation de Netfilter.

L’événement aura lieu dans les locaux de l’ESIEA dans le 13ème arrondissement de Paris. L’accès est libre et une inscription est demandée.

NuFW a 5 ans !

La première version publique de NuFW est sortie le 01 septembre 2003. Cela fait donc maintenant 5 ans que le projet est public. L’idée avait germée en 2001 mais ne s’était concrétisée que le 01 septembre de l’année 2003 comme le prouve la page Freshmeat de NuFW :

Added: Mon, Sep 1st 2003 14:40 UTC (5 years, 0 months ago)

Je profite donc de cet anniversaire pour remercier tous ceux qui ont rendu l’existence de ce logiciel possible. Merci donc à tous les contributeurs qu’ils habitent en France, au Pakistan, en Allemagne, au Canada ou encore en Italie.

Et bien sûr, merci aux utilisateurs !

JO : Changement d’ambiance et choc des cultures

Je suis tombé par hasard sur la cérémonie de clôture des jeux à la télé. La chance a voulu que ça soit au moment même où Londres faisait son spectacle de passage du témoin. Ce fut une surprise rafraîchissante, au milieu des milliers de danseurs chinois bien coordonnés, bien abiles, bien comme il faut, Leona Lewis et Jimmy Page exécutant la chanson “Whole lotta love“.

Ça m’a complétement bluffé. D’une part c’est une de mes chansons préférées, d’autre part c’est une chanson sulfureuse. Pour preuve, je vous laisse soin de traduire ce passage :

Way, way down inside, Im gonna give you my love,
Im gonna give you every inch of my love,
Gonna give you my love.

ou encore celui-ci

Shake for me, girl
I wanna be your backdoor man.

Les anglais ont une fois de plus montré leur côté doucement irrévérencieux. Je dis doucement car les passages précédemment cités ont été gommé de la version chantée par Leona Lewis.

Bravo quand même, j’imagine mal le comité français faire chanter “Les sucettes” à France Gall lors d’une telle cérémonie.

Un remède de cheval pour l’armée

Le livre blanc sur l’armée a été publié récemment et quelque chose comme 54000 suppressions de postes et des dizaines de fermetures de bases sont planifiées.

La pilule ayant du mal à passer, le secrétaire d’état à la défense et/ou le président ont tenté une opération marketing en envoyant le secrétaire d’état au Liban pour discuter avec les soldats de la FINUL. L’opération est relayée sur France Info et le journaliste (usant là du peu de libertés qui lui reste) déclare que les soldats sont peu bavards. Il ne cite bien sûr pas le plan de restructuration pour aider à comprendre ce mutisme. Le reportage se poursuit par cette phrase du secrétaire d’état :

Il faut prendre le pouls … il faut être proche de la base

Après avoir annoncé un tel changement, ça doit être difficile d’être proche de la base. En plus, avec toutes les fermetures de bases on ne sait plus trop bien où elles sont, les bases. Il vaut mieux aller au Liban trouver des soldats. Là-bas, ils ne sont pas prêt de partir.

Lutter contre la faille DNS avec Netfilter

La découverte récente d’une méthode permettant d’exploiter des failles dans la plupart des implémentations DNS à fait beaucoup de bruits. J’en tiens pour preuve des articles dans ZDNET (Colmatage d’une faille de grande envergure sur les serveurs DNS), Le Monde et les échos.

Si l’on étudie ce qu’écrit le CERT dans l’article Multiple DNS implementations vulnerable to cache poisoning, une méthode de contournement de la faille consiste à rendre aléatoire le port source utilisé pour les requêtes DNS.

Lors de recherches faites sur le bloquage de Skype, j’avais implémenté la traduction d’adresse avec attributions de port source aléatoire dans Netfilter et Iptables. Cette modification avait été faite pour empêcher l’établissement de connexions directes entre deux machines situés derrière des routeurs malgré la traduction d’adresse. Cette fonctionnalité est disponible dans Linux depuis le noyau 2.6.21. Elle peut-être utilisée pour lutter contre la faille DNS.

Si les serveurs DNS relais ou les clients se trouvent derrière votre pare-feu Netfilter, il suffit de rajouter la règle de NAT suivante :

iptables -I POSTROUTING -t nat -p udp --dport 53 -j SNAT --to IP --random

Netfilter va alors rendre aléatoire le port source des connexions DNS tel qu’il est vu derrière la passerelle (et donc pour le monde extérieur) luttant ainsi contre les attaques de cache poisonning.

Un bel exemple de courage

Le Monde publie sur son site un article relatant la visite dans une classe de Alice Guéna, la présidente du Mouvement d’affirmation des jeunes gais, lesbiennes, bi et trans. Intitulé “J’avais jamais vu un homosexuel”, il détaille les réactions d’une classe de BEP lorsque Alice Guéna les pousse à parler de l’homosexualité.

Rien de bien neuf sur les réactions des élèves, mais le courage de l’intervenante est vraiment impressionnant. Se pointer devant une classe de mécanique (tiens un cliché), porter la discussion sur ce terrain, encaisser des propos pas vraiment agréable, ne pas s’énerver et répondre juste pour faire rebondir la discussion, ça m’inspire le respect.

Du respect, j’en ai d’ailleurs perdu pour une catégorie de personnes, les lecteurs du Monde. Je leur attribuais des qualités d’ouverture et de tolérance plus élevées que la moyenne, mais les commentaires de l’article m’ont fait changer d’avis tant la part des gens qui condamnent l’initiative est importante. Un prix du commentaire tout de même à “Gut&Berg” :

Alice Guéna fait preuve d’un courage que tous les machos de la terre ne connaissent pas. Bravo à elle.

Présentation de ulogd2 et nf3d au SSTIC 2008

J’ai présenté Ulogd2 et nf3d lors de la rump session du SSTIC 2008.
Après une brève introduction sur l’architecture de ulogd2, j’ai montré le résultat de mon travail sur la visualisation des connexions et des paquets loggués, nf3d.
Les slides sont disponibles.

Je me rend compte que je n’ai pas encore parlé de nf3d ici. Il s’agit d’un logiciel représentant sur une vue 3D les connexions Netfilter et les paquets loggués. Comme une image vaut mieux qu’un long discours :




Les cylindres représentent les connexions et les sphères les paquets loggués. L’axe des X est le temps et l’axe des Y indique la succession des connexions. Chaque paquet est représenté sur la connexion dont il est issu.

Le FBI criminalise les clicks

Un article de Securityfocus revient en détail sur une affaire révélée le 20 mars 2008. L’affaire avait notamment été traité par News.com.

Le FBI a posté des liens censés menés vers des images ou des vidéos pédophiles. Il n’y a en fait rien à l’arrivée hormis une enquête du FBI, un débarquement d’agents, et jusqu’à 10 ans de prison (et ce même si aucune preuve n’est retrouvée au domicile de la victime).

Mais, monsieur l’agent, j’ai cliqué car je voulais prévenir Point de contact.