Générateur d’IP : après SeedFuck, IPFuck tente l'HTTP poisoning

Fuck, fuck, fuck 157
Marc Rees
Seedfuck est cette solution, présentée il y a quelques semaines, qui permet de générer de vraies fausses adresse IP sur les tracker P2P. Dans un proof of concept (PoC) , une version modifiée de ce code a même été encapsulée dans un PDF, afin de lancer « l’empoisonnement » dès l’ouverture du fichier.

IPFuck hadopi adresse IP http poisoning

Au-delà de la démonstration technique, l'épisode montrait par l’exemple combien les initiatives sur les réseaux parviennent à prendre les dispositifs législatifs à leur propre piège : tout le socle d’HADOPI repose sur l’adresse IP qu’on sacralise ? Très bien : il suffit de taper un petit coup de pied dans cette fondation, et voilà l’immeuble de la Rue de Texel menacé d’effondrement.

Ce week-end, une autre « dégénérescence » a été mise en ligne par Paul da Silva, ancien journaliste actuellement ingénieur développement. Celui-ci a développé un autre PoC, combinant deux outils préexistants : Seedfuck, donc, et Modify Headers. Ce dernier est un bout de code  présenté en juillet 2009 qui travaille au niveau application et dont « l’idée est de simuler la navigation via un proxy en modifiant les headers HTTP de votre requête ».

De ce mariage, est né IPFuck, une extension Firefox qualifiée par Paul de « premier logiciel d’HTTP poisoning » et dont le principe ressemble à celui de SeedFuck : « il s’agit d’envoyer, en plus de sa vraie adresse IP que l’on ne peut pas masquer sans que les paquets ne se perdent, trois adresses générées aléatoirement, selon des règles que vous choisissez dans les options, ou parmi une liste d’adresses que vous choisissez ».

Du côté du serveur, la requête est interprétée et renvoyée au bon endroit. Du coup, « la navigation se passe donc exactement comme si vous n’aviez pas installé l’addon pour vous. Mais le site sur lequel vous vous êtes connecté a enregistré (potentiellement, tout dépend du code utilisé) quatre connexions différentes, dont trois sont effectuées avec une adresse qui ne vous appartient pas ».

Sur le site du projet, on souligne, fort de ce code, que l’adresse IP ne peut plus raisonnablement servir de preuve puisque IPFuck va faire accuser des innocents avec ces logs empoisonnés (Frédéric Mitterrand a d'ailleurs été interrogé sur ce point fondamental) : « Les trois IP ont été conçues pour fournir des informations sur l’adresse IP réelle d’une personne surfant via un serveur proxy. Quand vous activez IPFuck, les sites web visités vont croire que votre véritable adresse IP est un serveur proxy ». Et si le site cible tente de ne se focaliser que sur l’adresse IP identifiée via ‘REMOTE_ADDR', il perd toutes les informations de ceux qui se cachent derrière un proxy...

La faible fiabilité de l’adresse IP a été plusieurs fois mise en avant durant HADOPI, ou devant la justice avec le fameux jugement de Guingamp. Dans un récent rapport cosigné par plusieurs députés UMP dont Lionel Tardy au sein d’un groupe de travail comptant notamment dans ses membres Franck Riester, des parlementaires de la majorité ont finalement refusé de considérer l’adresse IP comme une donnée personnelle. « L’adresse IP peut être publique - comme dans un cybercafé - ou bien dynamique, et donc mobile. Elle est, en outre, facilement contournable grâce aux logiciels d’anonymisation, tels que TOR, librement téléchargeables sur l’internet. Qui plus est, un établissement entier peut être associé à une seule et même adresse IP. Enfin, à l’avenir, un nombre croissant d’objets terminaux qui n’ont pas de liens avec une personne physique (par exemple, les panneaux publicitaires) vont être connectés à l’internet et disposer d’une adresse IP ».