Tout se passe ici! La HADOPI vient en effet de publier la nouvelle version de ses spécifications fonctionnelles, et ceci à des fins de consultations ouvertes à priori à tout le monde.

Heureusement que c’est le cas, et pour deux raisons :

  1. Comme ça on peut corriger les bourdes ;
  2. Ça fait toujours du bien de rigoler un grand coup.

Sans s’attarder, puisque déjà plusieurs personnes en ont fait l’analyse, un petit florilège de perles.

Force est de constater que les virus, les vers, les botnets et les spams se répandent toujours autant.

Ça c’est sûr, et en demandant aux utilisateurs français d’installer des botnets, ça va pas s’arranger.

Il est difficile de définir le caractère illicite d’un téléchargement, puisque le clonage est constitutif du numérique. Tel fichier peut avoir été téléchargé légalement, sa copie (son clone) pouvant être selon le cas, légale (copie privée) ou illégale.

C’est bien de découvrir enfin que l’on passe son temps à copier de l’information; C’est un peu la base de l’informatique quand même…

Au passage, on apprend qu’une copie est soit illégale, soit une copie privée. Et si la licence m’autorisait justement à réaliser une copie ?

Ce hachage est réversible ; la fonction est connue du seul Éditeur, qui est à même de procéder au retour en clair à la demande d’un juge.

Principe de Kerckhoffs? Fonctions de hachage ?

Le journal en clair est intègre ; son authenticité est attestée par une clé privée que possède le titulaire de l’accès internet ; Le droit de lire le journal signé et chiffré est restreint au titulaire de l’accès internet qui pourra le déchiffrer grâce à une clé secrète qu’il possède ;

Pardon ?

On utilisera, pour toute la partie cryptographique (chiffrement symétrique, chiffrement asymétrique, signature électronique, authentification, horodatage, etc.), les algorithmes et les protocoles cryptographiques standards en vigueur.

Et la fonction de hachage propriétaire ultime, on y aura pas le droit au final ? :’(

L’Application doit être identifiée dans son environnement informatique, elle doit être disponible, intègre, infalsifiable.

Mais bien sûr !

Elle peut être réalisée à partir de bibliothèques de logiciels libres et/ou peut fonctionner en code exécutable fermé, gérée par une licence sur des systèmes d’exploitation libres.

Est-il vraiment nécessaire de préciser cela ou c’est juste pour ne pas irriter ceux qui ont fait le choix d’utiliser des logiciels libres pour de vraies raisons ?

Les logs utilisent de préférence le standard « syslog » ou IDMEF

Je suis le seul à penser qu’on va finir par se retrouver avec un Suricata sur sa TrucBox ?

L’Application peut par ailleurs demander au FAI de vérifier que les clés (WPA) du boîtier ne sont pas des clés faibles (ex : 12345) et de vérifier les adresses MAC des équipements physiques connectés. Cette fonction de diagnostic donne une bonne assurance de sécurité pour l’amélioration de la sécurisation de l’écosystème du titulaire de l’accès internet, bien que les adresses MAC soient réinscriptibles par une personne malveillante.

Ah bon, on avait déjà touché le fond ? Pourtant on creuse encore là !

Sérieusement, ça sert à quoi d’aller demander au FAI si le mot de passe est fort ; Comme si on était incapable de la faire localement. En plus, ça demande moins de ressources que de faire tourner un IDS ou un une quelconque DPI.

Quand à la vérification d’adresses MAC, là je ne sais plus quoi dire.

Je passerai aussi sur les Interface Personne-Machine et autres approximations ou affabulations qui parsèment le document.

Heureusement pour les concepteurs de logiciels de sécurisation, l’évaluations de ceux-ci ne se feront pas devant l’ANSSI mais devant des centres agrées [1][2]. Ils se feraient toujours refuser, soit pour être aussi performants qu’une chaussette posée sur un câble réseau, soit pour être non conformes aux spécifications.

C’est pas tout ça, mais je vais bientôt avoir du temps libre devant moi pour me pencher sur de nouveaux projets. La question qui me brûle les lèvres : «Quand-est ce que l’on pourra enfin s’amuser pour de vrai avec les logiciels de sécurité ?», le teasing ça commence à bien faire.

Notes

[1] Décret n°2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information

[2] Décret n° 2010-1630 du 23 décembre 2010 relatif à la procédure d’évaluation et de labellisation des moyens de sécurisation destinés à prévenir l’utilisation illicite de l’accès à un service de communication au public en ligne