L'envoi de paquets sur internet est un sport de combat -RMLL2012-

Les RMLL sont un cycle non commercial de conférences, tables rondes et atelier pratiques autour du Logiciel Libre et de ses usages. Chaque année depuis 12 ans, un appel à conférences est envoyé et chacun peut proposer son sujet.

Je propose cette année un sujet qui traite de la liberté d'accès à Internet. Voici la soumission que j'ai faite aux RMLL:

---

L'envoi de paquets sur internet est un sport de combat. 

Hadopi, ACTA, filtrage, Internet limité, DPI, Révolution 2.0, neutralité du net... Le temps ou un accès internet consistait systématiquement en une adresse IP publique et ou le filtrage n'existait pas est révolu. En effet, la neutralité du net est remise en cause jusqu'à voir naître des lois sur le sujet, les FAI n'hésitent plus à filtrer ou brider internet et de plus en plus d'affaires d'écoutes et de détournements de trafic sont portées à l'attention du public.

Que signifie aujourd'hui un accès à internet?
Les atteintes à la liberté d'Internet peuvent être classées en trois catégories qui seront présentées en première partie. Cela concerne le filtrage par port, par IP ou par domaine, l'écoute des communications par un tiers et la censure des communications et documents. Ces trois failles utilisent souvent les mêmes techniques que sont les sondes firewalls et les sondes DPI (Deep Packet Inspection).
La seconde partie vise à présenter présenter ces techniques de suivi et coupure de connexions et de donner ensuite des méthodes pratiques afin de les contourner ou de les rendre aveugles.

1. Internet filtré, internet écouté, internet censuré!
Internet n'est pas que le web, mais le web est l'élément incoutournable d'internet. Les deux notions seront donc différenciées le cas échéant, mais il est généralement fait mention d'accès au web.
1. Le filtrage
• Le filtrage s'effectue par IP, par port ou par domaine DNS. Liste noire, liste blanche, limitations.
• Le filtrage est aisément détectable, une fois l'hypothèse de la panne écartée.
2. L'écoute
• Eventuellement indétectable!
• Le Deep Packet Inspection
• Quelques méthodes de détection des écoutes (sans garanties)
3. La censure
• Pas de blocage franc aisément détectable
• Souvent lié à l'écoute et/où à la géolocalisation
• Lois contre la neutralité d'internet
4. Points communs entre ces entorses à la liberté de l'accès internet
• On retouve des techniques de DPI
• Souvent placées sur les noeuds de sortie, FAI ou pays.
2. Retrouver un Internet libre ou 'Full Access'
1. Petit panorama des sondes DPI actuelles
• Jusqu'ou va le DPI? Quelle profondeur? A quel débit?
• Pour quels réseaux
-Internet IPv4 / IPv6
-Internet mobile/GSM

• Méthodes pour outrepasser le chiffrement
-Sa détection
-Son interdiction
-La non sécurité de SSL
2. Qu'est ce qu'un accès internet libre?
Définition de ce qu'est un accès internet "acceptable".

3. Les solutions
• Principes de contournement du filtrage: le tunnel
• Principes d'aveuglement de l'écoute: le chiffrement
• Principes de contournement de la censure: multiplicité des sources d'accès
• L'utilité d'une (ou plusieurs) machine(s) tierce(s) sous contrôle
• Ninja tricks
-tunnels
-evasion
-chiffrement
-special tricks

3. Conclusion

---

La réponse sera donnée courant avril.

Commentaires et questions bienvenus afin d'enrichir le débat.

Un recruteur qui vous challenge?

Il y a quelques jours, je lisais le magazine MISC et une offre d'emploi a attiré mon attention. En effet, au milieu de cette annonce, une suite de caractères qui challenge le candidat "7Pp7W2Yr".

Ce challenge mène à quatre questions à résoudre et une nouvelle adresse mail où candidater. Sans doute que ceux qui utiliseront cette adresse mail plutôt que la générique de l'annonce auront plus de chances :-)

De plus en plus de sociétés proposent des challenges pour découvrir et recruter des candidats. Il faut bien avouer que c'est quand même plus sympathique que de devoir passer la barrière du DRH+secrétaire qui ont souvent le malheur de ne pas très bien connaître les skills de ingénieurs en sécurité. Au moins, un bon challenge permet vite de trier les candidats sur une base claire.

Je propose quelques sites de société ayant mis en place des challenges de recrutement (et que j'ai résolu pour certains \o/ ). Je vais essayer d'en parler sans trop spoiler.

• tetrane.com contient un challenge, plutôt un petit easter egg dont la solution est très simple si vous avez des connaissances en debug.
• Si vous avez lu MISC et l'annonce de winamax, vous devriez facilement trouver la page pastebin contenant le challenge (mais je spoile déjà un peu). Sur les quatres épreuves, seule la première est complètement tordue (et me semble introuvable sans un second hint à moins d'avoir une intuition qui dépasse l'imagination, mais c'est un avis personnel). 
• En anglais, il y a eu canyoucrackit qui est terminé, et dont toutes les solutions sont disponibles sur internet. L'idée est plutôt bonne, avec un enchaînement d'étapes bien tournées.
• Raytheon a également un bon challenge en trois fois deux étapes, pas très compliqué mais amusant (les portes yes/no notamment). Les solutions se trouvent sur internet, mais ça se résoud sans.
• Dans un autre domaine que la sécurité, facebook a un challenge de programmation. Vous avez un problème à résoudre, et vous avez le choix du langage. Vous tapez le code dans une page web, puis ça le compile (ou ça l'interprète) et ça envoie le problème. Si votre programme le résout, alors vous passez à l'étape suivante. 
• Le site 1.61803398874.com/ est un challenge dont le nom de domaine lui-même est à comprendre. Un second challenge est un programme à écrire, dont la man page est fournie, sous forme humoristique. Il faut écrire la man page du programme 'dog' qui est le meilleur ami de l'user.

Il y a eu sûrement d'autres sites webs de challenge, si vous en connaissez, vous pouvez les faire suivre, en attendant le fameux challenge du SSTIC (qui sert selon toute vraisemblance d'examen de recrutement pour l'ANSSI :-) ).

EDIT: L'ANSSI a son challenge apparemment.

Et se pose alors une question, qu'est ce qu'un bon challenge? Un bon challenge, c'est celui qui n'a qu'une réponse, et une fois cette réponse trouvée qu'elle ne donne pas prise à la contestation. Dans un bon challenge, les fausses pistes doivent également être écartables de façon non ambiguë.
Il est donc plus difficile de faire un bon challenge que de le résoudre.

Ainsi, le troisième challenge de winamax démarre par l'analyse d'une trace pcap. La première chose que l'on fait, c'est regarder les IP. Et malheureusement, l'IP utilisée n'a rien à voir dans la résolution du challenge, et c'est une IP publique (mettre une IP privée aurait permis d'écarter l'hypothèse d'une attaque online). Il est vain d'essayer de la nmapper, c'est un pauvre gars sur internet qui n'a rien à voir avec le challenge. 

De manière opposée, le challenge SSTIC de l'an passé avait une base de données. Les mots de passe des utilisateurs, une fois décodés, indiquaient "nothing interesting here.". C'est clair, et ça permet d'éviter de chercher de la faille SQL inutilement. Le challenge Raytheon est également d'une clarté sans faille (gag). L'image du challenge comporte un texte indiquant "Sometime it helps considering the source". Source HTML? La solution est donc là sans ambigüité.

Un article sur les challenges mérite bien d'en proposer un, en voici un que j'avais proposé à mes étudiants lorsque j'étais enseignant. L'énoncé était le suivant:

    00 90 fb 10 04 bf 00 23 ae 8b 19 7b 08 00 45 00
    00 30 f0 65 40 00 80 06 92 ab c0 a8 67 10 5e 8e
    f1 6f 06 72 00 17 66 40 50 0c 00 00 00 00 70 02
    ff ff 4e 93 00 00 02 04 05 b4 01 01 04 02

Question: Quel est le titre du film?

La solution ne permet pas de douter de celle-ci. Enjoy.
[Et merci à N.R. pour raytheon et facebook]