[zed – Hack45 – 16/04/2010]

J’ai publié hier un billet après être tombé sur cet exploit. A ma grande surprise, en moins de 24h, l’info a fait le tour du Net… c’est ce que les marketeux appellent un buzz il parait. C’est assez amusant de voir les réactions diverses sur Numerama, PC-Inpact, Clubic, Zataz01Net ou les blogs de bluetouff et de Korben …Souvent, les Buzz portent sur des informations simples et non techniques, comme la vie sexuelle de George Clooney ou le dernier lifting mammaire de Paris Hilton. Même si le billet sur Seedfuck était loin d’être technique, il y a eu quelques distortions qui ont transformé une info banale en scoop.

Premièrement, le code lui même est un proof of concept qui n’a jamais été à ma connaissance dirigé spécialement contre HADOPI, je le soupçonne plus d’être une mise en évidence des faiblesses de BitTorrent lui même. Car il ne faut pas s’y tromper, l’utilisation massive de ce code (par exemple inoculé par des trojans sur des machines zombifiées) lancerait un véritable déni de services sur les trackers publics de Torrents. BitTorrent pourrait donc se voir rendu inutilisable, et ça je doute que ce soit le but recherché par les anti HADOPI (dont je fais également parti)… après me direz vous, il reste les trackers privés.

En second plan il y a les petites inexactitudes relayées par Zataz et reprises par Clubic : le code n’est pas écrit en C mais en C# … un langage portable mais aux origines douteuses (made in Microsoft dont certaines bribes Linux utilisables requièrent l’ouverture un d’un compte sur MSDN, un comble).

Est-il besoin de le souligner : cet exploit ne vous rendra pas anonyme ou invisible sur les trackers Torrents.

Concernant maintenant les effets que ceci pourrait produire sur HADOPI, il me semble qu’ils sont bien plus psychologiques que pratiques, puisqu’un développeur à lui seul, avec quelques lignes de code, peut faire doubler ou tripler le coût d’une procédure que le Ministère de la Culture prévoyait d’automatiser, en se passant de juge, et pour un coût ridicule. HADOPI 2 a rendu cette procédure bien moins évidente et surement plus coûteuse, ce code devrait inciter la HADOPI, ou plutôt les sociétés qu’elle va mandater, à mener de véritables petites enquêtes pour confondre un internaute, tant et si bien que l’on très pourrait passer du millier de courriers d’avertissement annoncés à quelques dizaines par jour tout au plus.

Je retiendrai également comme information ce début de portage en Python avec WebPy.

EDIT : Pour finir je me dois de répondre à 01Net :

1° Oui le code à été testé (ça prend 3 minutes : modifiez le pour placer un range d’ip valides, compilez le sous Linux, lancez ensuite sous Windows le .exe généré avec l’invite de commande, rien ne s’affichera mais vous allez entendre hurler votre CPU, lancez Wireshark et dumpez, vous allez voir, il se passe bien ce que l’on veut).

2° Assimiler l’adresse IP au nom d’un point de vue juridique est assez original (c’est la jurisprudence qui le dit, pas moi), j’ai beau chercher, je ne trouve pas d’adresse IP sur ma fiche d’Etat Civil (c’est donc le juge qui tranchera, mais rien dans la loi n’affirme ceci, au contraire. Vous noterez d’ailleurs qu’Eric Freyssinet (pour lequel je voue une sincère admiration au passage) emploi le conditionnel.

3° Dans sa conclusion, 01Net nous dit « Ce qui conduirait au bout du compte à l’objectif visé par la Hadopi : neutraliser le téléchargement illicite. » … là, vous prenez vos rêves pour des réalités, il existe des dizaines de manières de se procurer des fichiers illégalement, cette conclusion est donc stupide. Ce n’est pas parce que un seul protocole de P2P (il en existe là aussi des dizaines) est mis à mal que HADOPI aura réussi son coup… bien au contraire : les utilisateurs se rabattront massivement sur d’autres protocoles (chiffrés et bien plus compliqués à surveiller), ou d’autres techniques de téléchargement.

http://hack45.net/seedfuck-dechaine-le-net/