Il semble que la discussion autour de l’HADOPI mélange souvent deux débats occasionnant des incompréhensions mais surtout des positions d’opposition associées à des convictions individuelles. J’en veux pour preuve une discussion (à bâtons rompus) de ce week-end où si nos points de vu objectifs quant à la lois en elle-même, son inaplicabilité et ses incoherences étaient partagées, nous avons vite dérapés sur le sujet de la rémunération des auteurs. J’ai en effet l’impression que cet aspect revêt un caractère irritant dans le débat et le polue régulierement au point d’en oublier l’essentiel : l’atteinte de nos libertés individuelles profondes et je ne parle pas de la copie, mais bien de la présomption de culpabilité ou l’accès à l’Internet (incluant le téléphone et la télévision… bref l’accès à l’Information).

Pour vous expliquer ce point de crispation, c’est celui qui cristalise la conversation, au moment où vous apportez l’idée que d’entendre des millionnaires se plaindre de leur baisse de revenus vous irrisse au plus haut point, vous sortez du débat d’actualité pour entrer dans le monde des convictions me semble-t-il. Les positions deviennent alors fermées, la bataille rangée et les arguments sans la moindre valeurs, les aspect factuels etant inéxistant dans un domaine idéologique.

Pour résumer les deux positions idéologiques dont nous parlons, je dirai qu’il y a deux mondes : celui considérant que le travail mérite un salaire à la hauteur de l’effort réalisé (incluant le risque, les responsabilité, la pénibilité…) et celui reconnaissant le talent comme une valeur supérieure inestimable bien au dessus du travail.

Le debat sur le respect du droit d’auteur tourne généralement autour de cette notion, c’est un peu l’idée de la license globale finalement, qui determine un prix pour l’ensemble du travail des auteurs, les laissant libre de se repartir la mane à leur guise et le système actuel basé sur la reconnaissance d’un talent (certe discutable devant la star’ac) qui remunère la consommation (par l’écoute) et non la production. [Tout le monde ne partagera sans doute pas cette analyse… et je reconnais que c’est un raccoursis de choses bien plus complexes, mais le fond me plait]

HADOPI ne traite pas de ce point là même mais seulement de la façon dont on peut faire respecter le système de repartition actuel, cette question sur le fond est donc un phénomène irritant qui cristalise les opinions et les débats. Discussion qu’il ne faudrait pas ouvrir pour ne pas poluer le débat, rester dans le rationel et faire de cette lois une chose applicable et utile à la société. J’écris celà à l’attention des 5 gus dans leur garage que je pense faire partie d’une mouvence libre à laquelle j’appartiens moi aussi. Je pense que nous sommes, sur ce débat cablés, différemment et je vais maintenant m’adresser aux adorateurs de talents pour leur présenter les bases de ma (notre?) pensée à ce sujet. J’y espere de la compréhension et non de l’adhésion.

Je vais procéder par fondements:

– Le talent n’est pas un domaine reservé à la culture :  chacun est talentueux car dans tous les métiers le talent existe. Le talent n’est en rien reservé à la culture il s’exerce dans chaque métier : du prof qui arrivera à enseigner son cours là où d’autres en sont incapables, de l’informaticien qui créera un programme plus performant, au chef d’entreprise qui mieux que quiquonque menera ses équipes au succes… Beaucoup possèdent un talent hors norme. Leur traitement ideologique est cependant totalement distincts, certains sont inestimables (auteurs, sportif) les autres n’ont pour valeur que celle du travail. A chacun de decider s’il reconnait des talents supérieurs.

– Le marketing est le talent supérieur que je reconnais : Il y a longtemps que la reconnaissance du talent est morte et enterrée, c’est le marketing qui aujourd’hui crée la valeur. Rare sont les exceptions où un talent surgit de lui même dans notre monde, il y a bien longtemps qu’il vaut mieux etre “fils de” ou faire une emission TV pour ado pour être reconnu. Comme par le passé les personnes talentueuses meurent souvent dans la misère ; c’est un fait leur talent n’est compris que bien apres. Le système en place est corrompu, emprunt d’inégalités.

Les personnes qui comme moi contemplent le monde egemonique de Microsoft depuis leur plus tendre enfance comprendront sans doute mieux comment un système de type libre est la seule réponse égalitaire connue, éprouvée, reconnaissant vraiment le talent et ce à une plus juste valeur.

– Le systeme actuel est destructeur de créativité : par ce systeme de copinage, de frilosité, d’appât du gain à court terme, la majeure partie de la production intellectuelle disparait à sa création ou ne sortira jamais de la tête de son auteur. Sans reconnaissance, pas de moyens, sans moyens, pas de creation. Au final, seuls ceux qui vendent continuent à vendre plus. On markète le produit pour qu’il plaisent à la masse, on n’essaie pas les nouvelles voies.

– La juste remunération : dans le monde du travail les remunerations sont basées sur des grilles globalement cohérentes vis à vis des responsabilités, des compétences/talents requis. Les facteurs sont de l’ordre de la dizaine entre les bas et hauts salaires. Hors il existe certains domaines comme celui de la culture (et d’un certain patronat) dans lesquels les facteurs sont de l’ordre du milier. Il est cohérent semble-t-il de se demander si celà à un sens et si ce n’est pas un danger pour notre société. Certains y voient un moteur au travers de l’espoir, et du rève engendré sur la masse, moi je n’y vois qu’une injustice et une inégalité non emprunte de bon sens et loin de mes valeurs.

Ce sont pour ces raisons que je n’accepte pas de sur-rémunérer les auteurs (et encore moins leurs enfants 70ans plus tard) , pour cela que je reve d’un monde différent que je ne saurais décrire. Dans le monde informatique, le logiciel libre m’a apporté la réponse à mes attentes au point de payer la license de mon logiciel libre (license correspondant à un service rendu)… J’attends que de tout celà surgissent une réponse dans le domaine audio-visuel car c’est bien celà qui s’il ne justifie pas, explique la copie.

Avec Hadopi II, le mot Pirate est à l’honneur en ce moment, derrière ce mot et la façon dont il est utilisé on lui entend la connotation la plus péjorative possible, celui qui pille et détruit. Les propos de la SACEM à ce sujet sont particulièrement éloquents :

« Alors qu’année après année, mois après mois, leurs revenus fondent sur le marché phonographique sans que les services en ligne ne compensent ces pertes, du fait tout particulièrement de la piraterie, ils appellent solennellement la Représentation nationale à prendre ses responsabilités pour répondre à cette exigence de justice. »

Le mot PIRATE est dans toutes les bouches sur les chaînes télévisées … mais qui est ce pirate ? Selon le dictionnaireje trouve ceci :

“Un pirate est un individu qui pratique de manière répétée le vol avec violence, le pillage et le crime en milieu extérieur”

Pour ma part dans le monde Internet, je connais trois sortes de personnes téléchargeant illégalement, que je vais vous décrire :

* Celui qui fait de l’argent avec le téléchargement, il télécharge des oeuvres, les grave puis les revend; à vrai dire cette espèce est plutôt rare (depuis que les graveurs sont monnaie courante) ou ne concerne que des domaines particuliers comme les jeux sur console, qui bien que plus touchés que l’audiovisuel, ne sont pas dans le giron de la lois. Bref, on parle là, pour le coup, de 5 gus dans un garage. Je classe celui-ci dans le pirate malhonnete à tendance mafieuse même si en général il ne s’agit que ados boutonneux en mal d’argent de poche.

* Celui qui collectionne : le gars un peu bete qui mesure son importance sociale au nombre de mp3/divx qu’il a sur son disque dur ; éléments qu’il ne visionera jamais et qu’il n’aurait par ailleurs jamais acheté. Je classe cette catégorie plus nombreuse dans le royaume de la bétise humaine auquel la lois n’apporte rien mais où le manque d’éducation est flagrant. Son seul danger et qu’il facilite les échanges de la dernière catégorie en leur proposant des archives importantes et souvent de qualité.

* Enfin, monsieur tout le monde, celui qui se contente de télécharger une dizaine de CD à l’année pour son usage personnel, un titre lui a plu à la radio, il lui est plus simple de le télécharger que de l’acheter alors il le fait. Il achetera d’autres CD surement d’auteur qu’il connait mieux en faisant ses courses samedi chez Auchan … Il se sert sur emule comme il y a quelques années il confiait une K7 vierge à un ami pour lui copier un disque. Lui, il est la masse, il represente 90% de la population et il est la cause de la baisse des ventes, mais il est aussi la raison du succes de chaque artiste et aussi le premier acheteur d’élément audiovisuels. Celui que l’on appele PIRATE, c’est lui, tout le monde,  les français dans leur immense majorité.

Je pense que les Français demandent un minimum de respect et que me lance la pierre le Français, qu’il travaille à la SACEM ou qu’il soit élu politique ou juge, qui n’aura de sa vie jamais copié une K7 audio ou video, un CD, echangé un mp3 avec un ami ou dupliqué une VHS.

Je ferai un parallele avec les excès de vitesse et les pirates de la route, il y en a trois catégories:

* Ceux qui font usage de la vitesse pour perdre la police alors qu’ils transportent de la drogue par exemple

* Ceux qui roulent vite, au dela de la vitesse de façon récurente, par pur plaisir sans se soucier du risque qu’ils font prendre aux autres

* Monsieur tout le monde qui depasse la limite de 5km/h voir 20km/h de temps à autre

Hadopi veut instaurer le radar automatique de l’Internet, dans tout ce qu’il y a de plus inégalitaire et idiot où le couillon de passage se fera avoir alors que les deux premières catégories sauront éviter l’obstacle. A la difference près que pour cet exces de 5km/h, Hapodi enlève au chauffeur, à sa femme et ses enfants, à la fois leur voiture mais aussi leurs vélos et leurs abonnements de bus durant 1 année. Est-ce cette société que nous souhaitons ; est-ce ces personnes les affreux pirates tant décrié ces jours ci ?

Le mot PIRATE est à mon sens une maniere d’orienter l’opinion publique, bon nombre se diront que si l’on parle de PIRATE, alors on ne parle pas d’eux ce qui est absolument faux. C’est bien de nous tous que l’on parle ainsi ! La lois est faite pour nous tous sans elle ne sera d’aucune utilité. Sera-t-il possible un jour d’avoir sur un média de masse l’intervention d’une personne expliquant HADOPI dans ces termes, à savoir ce dont il s’agit exactement et quelles en sont ses conséquences pour notre société plutot que des discours idéologiques ?

Petite reflexion ce matin à l’occasion de l’Hadopi 2 concernant les mesures de précaution associées à l’HADOPI, vous savez, je veux parler de ce logiciel que vous allez pouvoir installer sur votre PC pour prouver que vous n’êtes pas l’auteur des téléchargement illégaux… D’un point de vue de néophite, j’oserais presque dire de politique, cela pourrait tenir debout : on vous accuse, vous sortez les logs et vous êtes disculpés ou non… Seulement d’un poitn de vu technique il en est tout autre.

Le seul point captant toute l’information est le point d’accès wifi, la “box” comme on dit. Hors il n’est pas prevu que le logiciel soit installé ici et par ailleurs l’espace de stockage des log rendrait l’équipement bien plus couteux. Par ailleurs la diffusion de ce “spyware” dans tous les equipements réseaux (tout le monde n’utilisepas des box d’operateurs mais aussi des modem d’autres marque) n’est pas simple à envisager. C’est donc au niveau de chaque PC qu’un soft doit être installé. La seule preuve que le logiciel pourra ainsi apporter et que le pirate n’a pas agit depuis le PC en question (et encore, je passe sur les techniques de virtualisation) et d’aucune façon que le propriétaire du dit PC est innocent.

Rien ne l’empeche, en effet, d’avoir un autre équipement pour le téléchargement, je donne quelques exemple : le vieux PC désuet mais suffisent à cet effet, un netbook, un téléphone portable relié au wifi familial, une console…. autant d’équipements sur lesquel, de toutes façon, Hadopi ne fournira pas de spyware et qui ne laisseront aucune trace visible depuis l’Internet

Je trouve interessant de constater que la solution de “protection” du citoyen, prévu pour le disculper, n’est en aucun cas une preuve de son inocence.

Si toutefois, comme je le ferai, le citoyen n’installe pas ce spyware Hadopi, mais est à même de fournir des logs complets et exhaustifs de ce qui sort de son reseau pour entrer sur l’internet (par de vrai moyen techniques, efficaces et reconnus dans un univers de sécurité professionnel), il ne pourra justifier de son innocence.

S’il vous plait messieurs les politiques, laisser la technique aux professionnels, sortons de l’ameteurisme technologique et idéologique.

En plein débat sur Hadopi, le film Home nous apprend deux choses à mon sens, ceci non en rapport avec son contenu mais plutot avec ses ventes, alors que 9,5 millions de personnes l’ont suivi sur France 2, que 1,3 millions de personnes l’ont vu sur Youtube et qu’il s’avere tout de même que le film connaît un très bon démarrage de vente de DVD, en atteste les ruptures de stock dans les magasins Fnac et les 80% du stock vendu en 2 jours (dur de trouver un chiffre exact, si quelqu’un peut m’aider …).

La première concerne le prix du DVD, il semble évident qu’à 5€ les gens se déplacent pour acheter, beaucoup plus qu’aux 25-30€ habituels. Le facteur prix serait bien un element de décision important contrairement à ce que l’industrie à l’air de penser… Un peu comme pour les cinémas d’ailleurs.

La seconde concerne la gartuitée : ce n’est pas parce que quelque chose est gratuit et librement téléchargeableque les gens ne vont pas l’acheter, lorsque d’une part la qualité est au rendez-vous et que d’autre part l’offre de prix est en rapport avec la demande.

Comme quoi avant d’engager des lois liberticides, il serait peut etre bon de revoir ses bases de marketing, ecouter sa clientelle… Qui sait, certains pourraient gagner plus en vendant moins (cher)

CQFD

En complement:

http://www.mediapart.frhttp://blogs.mediapart.fr/blog/laurent-chemla/090709/benabar-le-libertaire-de-l-internet-regule

Je suis lassé de recevoir toutes les semaines des relevés de comptes de la Sécu, avec 1 enveloppe, 1 timbre, 3 feuilles et au moins autant de pub pour cet organisme alors que l’on entend toujours parler de son trou abyssal…
J’ai donc été heureux de découvrir l’existence d’ameli.fr, le site de la sécu permettant de faire du zéro papier ! je me suis donc précipité dessus pour m’y enregistrer … mais là commence l’horreur, la procédure semble des plus banales, saisir sont numéro de sécu et un code présent, selon la page, sur les relevés reçus … hors sur ces relevés .. rien, mais alors rien du tout !! Bref, mon élan est brisé et 15 minutes perdues à chercher ce fameux code… courageux et motivé (comme sans doute pas plus de 10% des Internautes) je choisis d’attendre que l’on m’envoie par courrier un nouveau code secret temporaire. Jusque là, tout va déjà mal mais bon …
10 jours plus tard, à la réception du code, je tente donc une nouvelle inscription, le code donné fonctionne et je passe à la seconde étape me demandant de changer mon mot de passe. Je saisis donc de nouveau le code temporaire (mais pour quelle raison puisque la session est déjà ouverte ?!?) puis mon nouveau code. Hors ce premier est rejeté … mauvais code secret… Fichtre !! Comme sans doute 10% des 10% d’Internautes restant, je prends mon courage à deux mains et appelle le numéro d’aide… où l’on m’explique très gentiment que pour la seconde étape, je doit être munis du code à 6 chiffres qui est sur mes relevés, mais qui en fait n’y est pas ..; D’où tout l’intérêt de fournir un code temporaire … bref, On m’expédie ce code par la poste, tout en me précisant que sur de vieux relevés… peut être pourrais-je le trouver…
Et là, coup de veine avant l’abandon …. Je retrouve un vieux relevé où le code n’est pas inscrit dessus, mais présent sur une autre feuille dans l’enveloppe … Je le tape … lui aussi est rejeté… Génial !
Bon, là, comme 1% des 10% des 10% d’internautes restants, je retourne au home directory du service ce qui me permet de revenir un peu en arrière, j’essaie de nouveau le mot de passe à 6 chiffres… rejet … puis le mot de passe temporaire … et là, miracle, ça passe !

Je ne sais pas si vous avez saisi l’astuce … moi en tout cas absolument pas (je précise que les mots de passe ont été essayés plusieurs fois et qu’il n’y avait pas de fautes de frappes dans les essais précédents).
Bon, au final je suis inscrit … j’ai eu beau chercher l’option 0 papier …. je n’ai pas trouvée, peut être est-ce automatique … on verra bien.

Je note simplement une chose, si un site marchand faisait la même chose… il n’aurait pas un client ! Alors que par ailleurs, la création de comptes utilisateur est le béa-ba du développement ouaib.
A bon entendeur ! salut !
_________
mise à jour …
_________

Voila, cette fois c’est fait, le fond du fond de l’amateurisme est atteint lors de la réception de l’email de confirmation de mon adresse mail … je vous fait un c/c c’est trop beau !

Veuillez cliquer sur le lien suivant pour valider votre email :
MTc3————–Z2aURrOGUwYU1LR1FkWFptUXJO?code=https://assure.ameli.fr/portal/page/portal/Espace_AS/Sommaire
Pour nous contacter, merci de ne pas répondre à ce mail mais connectez-vous à votre compte Ameli assures :
https://assure.ameli.fr/portal/page/portal/Espace_AS/validationAdresseCourriel.

Regardez bien ! l’url qui est donnée … le jeton de validation et l’adresse de la page sont inversées… Autant vous dire que d’une part personne ne risque de valider son email mais que surtout personne n’a testé cela… Ya de la sanction pour incompétence dans l’air !
Bon, pour continuer dans le parcours du combattant, j’ai fait comme 0% des assurés … j’ai remis l’url à l’endroit ! ben je vous le donne en mille :

Votre adresse électronique n’a pas été validée. Veuillez réessayer ou contacter le service support !
Pour vous connecter à votre compte ameli,

allez ! une dernière avant que vous vous étouffiez de rire … J’ai voulu envoyer un message pour les prévenir du problème … mais je ne peux pas tant que l’email n’est pas validé ! trop bon !

Des nouvelles de mon aventure au bout de 3 mois … Nous sommes en Décembre et si l’email de validation n’est toujours pas corrigé, lorsque l’on remet dans le bon ordre les champs, il ets enfin possible de valider l’email !! OUAIIII trop fort la sécu ils ont corrigé un bug ! Bon, maintenant, il ne reste plus qu’a mettre l’option 0 papiers dedans et j’aurais enfin l’impression que mes efforts auront était utiles pour la société.
Bon je vous en donne encore une pas mal … une fois mon email validé, j’ai souhaité envoyer un message pour leur indiquer le problème mais pas de bol … quand le message est trop long, il entraine une erreur “service indisponible” … Quand on pense que la sécu paye des gens a plein temps pour vendre leur service et des spots de pub à plusieurs millions d’Euro pour un site qui ne sert à rien … et bien j’aimerai franchement qu’on me rembourse mes 40 euros de franchise de l’année tien !

L’histoire commence par un trou de sécurité dans l’outil de CSM joomla que j’utilise sur certains sites. Ce bug permet à tout utilisateur sachant l’exploiter d’imposer une nouveau mot de passe à l’utilisateur administrateur du site pour faire simple. Le bug est identifié en version 1.5.x depuis le 1er Aout.
Un de mes sites a donc été attaqué vers le 14 Aout : un utilisateur a pris le contrôle d’un des site pour y poster son article sur son sentiment au sujet de la Russie.
Un second est passé sur le même site pour le fermer, tout en modifiant la message et ce ventant de ce magnifique acte de bravoure… A noté que n’importe quel gamin de 10 ans ayant connaissance de la procédure à suivre peut en faire autant … enfin !
La dernière attaque est d’hier (17 Aout) et m’aura permis de me rendre compte de la faille. Celle-ci, bien qu’utilisant le même procédé est beaucoup plus intéressante car mettant en œuvre une technique plus évoluée et ayant plus de conséquences sur mes sites.

Mon ami de Turquie est donc venu visiter l’un de mes site à partir d’une simple recherche google à partir de laquelle il identifie les site basés sur joomla et offrant la porte d’entrée adéquat. La méthode est simple, ingénieuse. Une fois entré, il profite des fonctionnalités de ce CSM permettant de modifier manuellement les templates pour injecter son propre code PHP à la place de celui du template par défaut. Il a ainsi plus placer une petit script PHP rigolo aux fonctionalités diverse : scan de fichiers avec sticky bit, recherche de fichiers, édition de fichiers, exécution de commande shell … Le tout heureusement limité au droits de l’utilisateur apache…. mais c’est déjà pas mal !
Au final, mon ami aura passé une dizaine de minutes, le temps d’installer sa tambouille puis de modifier tous les index.php de mes sites ouaib hébergés sur ce même serveur pour les remplacer par le sien, une bannière php statique se ventant de cet acte de piraterie à l’intérêt au combien inutile.
Vient alors le temps de la résolution et du retour à la normale … de quoi me remettre dans le bain apres 15j de vacances bien mérités… Toutes ses actions étant convenablement tracées dans les fichiers de log apache il restait à réaliser le retour en arrière puis à colmater les brèches. Je suis en général bien armé pour cela avec une batterie de backup… Mais lois de l’emmerdement maximal oblige, ceux-ci ne fonctionnaient plus depuis trop longtemps sur ce serveur pour être utilisable … bref une journée de galère pour une récupération complète, aux pertes près issues de mauvaises manipulations de ma part …

Au final, je tire quelques conclusions de cela:

• Je suis conforté sur les risques liés à l’usage de CMS qui nécessitent d’être à même de patcher à tout moment les sites ainsi construits. Cette manip n’étant pas évidente dès que la version en ligne est un peu trop ancienne ou que des éléments ont été modifiés suite à une adaptation du site. Un développement custom, même s’il possède des trous de sécurité ne sera victime que d’une attaque ciblée et non de ce type d’attaque hasardeuse
• L’utilisateur apache ne devrait pas avoir de droits d’écriture sur aucun des fichiers / répertoire ; seulement, avec tous les automatismes offerts par les site ouaib actuels (installation de modules, templates) il est difficile de réaliser cela sans se priver de certaines fonctionnalités. Je tire donc comme conclusion que l’usage d’un CMS, entre autre doit passer par une étude approfondie des droits à affecter à chaque fichiers/rep avant une monté en production.
  Je pense d’ailleurs que les CMS devraient intégrer des scripts de protection et de dé-protection des fichiers par exemple, ou prévoir que certaines opérations soient réalisées en sudo avec un autre utilisateur que apache. En tout cas, il vaut mieux désactiver des fonctionnalités que de perdre un site suite à un crack.
• Enfin il est vraiment nécessaire de vérifier ses backup à une fréquence suffisante … en vérifiant qu’ils puisse bien être décompressés et qu’ils sont donc utilisable.

Voici donc quelques pensés sur la forme suite à cette attaque … Sur le fond, je ne cesse de considérer qu’il n’y a aucun héroïsme à utiliser des failles trouvées par d’autres, pas plus que de taguer un mur, ça n’exprime rien de plus que lorsqu’un chien pisse sur un lampadaire et la première pluie emmènera tout avec elle. Le seul Hacker est celui qui trouve – invente la faille par la lecture du code ou l’analyse du protocole, il n’a pas besoin d’en faire l’illustration sur l’espace public pour que son travail soit reconnu.

En terme de backup je suis plutot parano, non pas que mes données aient beaucoup de valeur, mais plutôt qu’il compter pas mal de temps pour les reconstituer et que je n’aime pas forcement me retrouver en mode gestion de crise pour mes sites perso… bref, j’ai additionné plusieurs systèmes de sécurité et mes données sont donc sur 3 disques : 2 en raid 0 + 1 de backup contenant des archives compressés… On se dit toujours que ceci est superflus et que l’une des deux solutions suffiraient amplement, jusqu’au jour comme celui lui ou après 5 ans de bons et loyaux service l’un des disques rend l’âme et que ce même jour le NAS stockant les backup décide lui de l’accompagner après 4 ans de fonctionnement. une retraite bien mérité pour ces éléments, je n’ai pas forcement à me plaindre… mais le même jour, il faut l’avouer, c’est tout de même l’expression qu’au hasard il ne faut jamais négliger l’addition de la lois de l’emmerdement maximum.
J’ajoute que bien entendu, il n’est pas question de surtension ou quoi que ce soit, mais bien de morts la mort naturelle de ses composants, l’un d’eux ayant déjà montré quelques signes de faiblesses.
Au final je ne regrette pas mes solutions en place qui ont fonctionné : 2 vis enlevées plus tard, la machine repartait … reste à réparer maintenant.