BENJAMIN BOUCHE - BLOG TECHNIQUE

J'ai parler il y a quelque temps d'une librairie PHP permettant de protéger ces sources en encodant les pages web : http://www.benjamin-bouche.fr/blog/index.php?post/2010/01/15/Comment-prot%C3%A9ger-ses-cr%C3%A9ations-PHP-gratuitement-et-simplement.

Je vais aujourd'hui vous parler d'une autre méthode, demandant moins de ressources (pas besoin d'avoir un serveur PHP) et qui semblent permettre la mise en place d'un fichier léger et un code source illisible (donc un début de protection) : La MINIFICATION...

La Minification en bref consiste en la suppression des caractères optionnels (espaces, retour chariot, commentaires, ...) et la réduction des noms de variables utilisés dans le code (généralement remplacé par une ou plusieurs lettres)...

Articlé tiré du site readwriteweb
URL originale de l'article : http://fr.readwriteweb.com/2010/09/20/a-la-une/les-ayants-droits-durement-touchs-par-une-contre-attaque-de-hackers/

Faire de la pros­pec­tive est une chose, voir se réa­li­ser ses pires pré­dic­tions en est une autre : trois mois à peine après que nous ayons de façon très expli­cite pré­venu les ayants droits, lors d’une réunion à l’assemblée natio­nale, des dan­gers d’une course aux arme­ments, voici que ces même ayants droits essuient, et ce n’est qu’un début, une attaque sans merci. Celle-ci aura le mérite de mettre les choses au clair pour ce qui est de jau­ger du rap­port de force entre ayants droit et internautes.

La ligne jaune a été fran­chie par AiPlex Software, une entre­prise tra­vaillant pour les ayants droits, et qui a adopté des méthodes par­ti­cu­liè­re­ment agres­sives, allant jusqu’à faire des attaques infor­ma­tiques DDOS sur les sites ‘pirate’.

Lancée sur 4chan, par les célèbres Anonymous, la contre attaque s’est opé­rée sur le même mode que la guerre qu’avait livré 4chan à la Scientologie : dis­tri­bu­tion d’armes à la popu­la­tion civile (en l’occurrence un uti­li­taire appelé LOIC, très simple d’emploi, per­met­tant d’attaquer un site), et par­faite coor­di­na­tion, afin d’attaquer un site pré­cis à une heure don­née. Un nombre «très impres­sion­nant» (selon nos infor­ma­teurs) de per­sonnes se sont joints à l’attaque, pro­vo­cant la dis­pa­ri­tion pure et simple de la pré­sence inter­net des sites web visés.

Ce n’est pas la pre­mière contre attaque de ce type, l’année der­nière, l’opération Baylout avait visé le cabi­net d’avocats défen­dant les inté­rêts de plu­sieurs stu­dios Hollywoodiens. Téléphone, fax, inter­net : durant près de deux semaines, l’entreprise s’est ainsi retrou­vée paralysée.

Bigger, bet­ter, stronger

Mais cette fois-ci, l’opération de ces der­niers jours contre la RIAA, la MPAA et AiPlex, les équi­va­lents amé­ri­cains de la SCPP, de la IFPI ou de socié­tés comme TMG ou Vedicis qui pré­parent, en Europe, l’instauration de la sur­veillance géné­ra­li­sée des popu­la­tions, sont d’une ampleur sans précédent.

Nos contacts au sein du milieu des hackers sont eux même éton­nés de l’ampleur pris par la contre attaque, mais s’inquiètent par­ti­cu­liè­re­ment du coté intran­si­geant de ceux qui sont der­rière ces attaques.

«Avec ce groupe, issu de ‘grey hats’, il n’y a pas de dis­cus­sion pos­sible, on est monté d’un cran». «Ces attaques sont sans pré­cé­dent, rien à voir avec l’opération Baylout de l’année der­nière, le nombre de per­sonnes qui ont par­ti­cipé est sans précédent».

Resistance is futile

En dis­tri­buant mas­si­ve­ment des armes à la popu­la­tion, la stra­té­gie a consisté à faire entrer dans la bataille des inter­nautes issus «d’une qua­ran­taine de pays dif­fé­rents». Il ne s’agit ni plus ni moins de lever une armée, et les ano­ny­mous ont prouvé qu’ils étaient en mesure de le faire au delà de tout ce que l’on avait pu ima­gi­ner jusqu’ici.

Ce type d’action, que TorrentFreak n’hésite pas à qua­li­fier de «mani­fes­ta­tion du futur» est d’une effi­ca­cité redou­table. Il n’existe pas pour l’instant de parade. Seul quelques très rares socié­tés de sécu­rité sont en mesure de pro­po­ser des héber­ge­ment sus­cep­tibles de résis­ter à ce telles attaques, fai­sant explo­ser au pas­sage les coûts de l’hébergement, ce qui ne résout, au final, qu’une par­tie du pro­blème, la mise à mort des sites web des ayants droits n’étant que la par­tie visible des dégâts infligés.

All your base are belong to us

A l’origine de l’attaque, les Anonymous, ce groupe consti­tué d’inconnus qui se retrouve sur le célèbre 4chan. Informelle, mou­vante et très dis­ci­pli­née, les troupes de volon­taires qui se sont joint, cette fois-ci, aux attaques, sont d’une ampleur sans pré­cé­dent. Parfois comique, comme quand les attaques consistent à télé­char­ger en masse du porno sur Youtube, par­fois enga­gés comme dans le cas de la lutte à mort des Anonymous contre la scien­to­lo­gie ou les attaques qui ont fait suite à la cen­sure de l’internet par le gou­ver­ne­ment Australien, la der­nière bataille contre les ayants droits a recueilli dans le grand public une adhé­sion incroyable.

La meute de volon­taires qui se sont joints a l’attaque a fait toute la dif­fé­rence, et a mon­tré aux ayants droit la for­mi­dable capa­cité à lever une armée qu’ont désor­mais les adver­saires des aya­tol­lahs du copyright.

Le déroulé des attaques ne laisse aucune doute, il ne s’agit plus désor­mais de coup de semonces, mais bien du déclen­che­ment d’une véri­table guerre mon­diale d’un nou­veau genre, dans laquelle des civils prennent les armes contre des socié­tés pri­vés. Il y a toutes les chances pour que le ter­rain des opé­ra­tions se déplace tôt ou tard dans des terres où les aya­tol­lahs du copy­right sont sur le point de prendre le pou­voir et d’impo­ser leur vision de l’internet : la France.

Interrogé sur les cibles poten­tielles dans le cas d’une fran­ci­sa­tion du conflit, les contacts que nous avons inter­ro­gés dans les milieux du hacking Français sont caté­go­riques : «la cible, en France, sera les indus­triel des conte­nus, tel que Vivendi et SFR, Orange, ou encore TF1». Au delà de leurs sites, ce sont les infrasc­truc­tures qui pour­raient être visées, pou­vant aller jusqu’à para­ly­ser cer­tains four­nis­seurs d’accès à internet.

En cas de mise en place de Deep Packet Inspection sur le réseau inter­net Français, nos contacts nous confirment que «il sera très aisé de viser les équi­pe­ments en coeur de réseau afin de leur por­ter des coups très durs».

Alea Jacta Est

Reste à voir si les ayants droits vont conti­nuer la course aux arme­ments qu’ils ont, de leur propre chef, entamé, et si l’Etat va enfin réa­li­ser qu’un tel conflit peut dégé­né­rer au point de por­ter atteinte à la sécu­rité natio­nale à avoir des conséquences écono­miques sérieuses.

Il sera égale­ment inté­res­sant de voir si le sym­bole de ce conflit ouvert entre ‘pirates’ et ayants droits en France, l’Hadopi, va entendre le mes­sage et se repo­si­tion­ner dans une atti­tude plus ouverte, quitte à lais­ser adou­cir voir aban­don­ner dis­crè­te­ment le volet répres­sif qui, face à l’armée désor­mais consti­tuée contre les aya­tol­lah du copy­right, fait dou­ce­ment rigoler.

Le pro­chain mou­ve­ment du coté des ayants droits sera vrai­sem­bla­ble­ment de requa­li­fier les faits en ter­ro­risme, mais à l’heure des dépor­ta­tions, cela pour­rait être perçu, sur­tout si cela vient d’un parti qui se réclame encore du Gaullisme, comme un compliment.

Ecrit le 20 septembre 2010 par Fabrice Epelboin

Malgré le fait que je prône le libre et que ce qui est créé à partir d'open source devrait toujours resté open source, il se trouve que de plus en plus d'entreprise se tourne vers le PHP pour créer des applications web ou applicatives tout en voulant garder leur secret de fabrication.

De nombreuses solutions de protection de code source sont apparues pour PHP récemment, mais la plupart d'entre elles restent payant (et souvent beaucoup trop chère, nécessitant donc des licences d'utilisation côtés développeurs mais également côté utilisateurs).

Alors comment faire aujourd'hui pour protéger son code dans une optique "propriétaire" mais "gratuite" ? La solution se trouve peu être dans l'extension bcompiler de la librairie PEAR....

A la suite de pas mal d'interrogations de la part de certains de mes collègues et amis sur ces nouvelles (ou anciennes) technologies que sont FLASH, FLEX et AIR, je pense qu'une explication sur les différences d'utilisations de ces technologies est nécessaire car cela reste parfois assez flous.

Les Server Side Includes, abrégés SSI, sont un langage de programmation fait pour être interprété par un serveur HTTP lorsqu'il sert un document HTML. Ce langage tire son nom de sa principale utilisation : inclure plusieurs fichiers pour construire et servir à la demande un document HTML. (source : Wikipedia).

Pourquoi alors utiliser WAMP pour faire des inclusions directement via le serveur HTTP alors qu'il serait aussi simple de le faire via des inclusions PHP basiques (include, require, include_once, require_once) ?