CROUS : limitation aux protocoles HTTP et HTTPS

Publié le 16 juin 2010 par Pablo Rauzy

Ça a pris presque deux semaines, mais l'administration de la résidence CROUS dans laquelle je loge pendant mon stage a fini par me fournir des identifiants pour le portail captif du réseau wifi accessible aux étudiants.

Il a évidemment pour cela fallu que je signe une charte d'utilisation qui commence comme ça (l'emphase est de moi) :

1- Principes à respecter

1.1- Finalité de l'utilisation et limitation aux seuls protocoles HTTP et HTTPS

L'accès aux moyens informatique et à l'Internet est strictement personnel et incessible. Cet accès est à des fins professionneles, à savoir enseignement, recherche, développements techniques, transfert de technologies, diffusions d'informations scientifiques, techniques et culturelles, expérimentations de nouveaux services présentant un caractère d'innovation technique. À ce title, est interdite toute utilisation des ressources informatique et d'Internet via RENATER à des fins commerciales, personnels (autres que dans le cadre d'activités de formations, de culture ou de recherche), ou à des fins ludiques (jeux multimédia " en réseau " ou autres). L'utilisateur ne peut, en aucun cas, donner accès à titre commercial ou non, rémunéré ou non, au réseau RENATER à des tiers. L'accès est limité au protocole HTTP et ne permet notamment pas l'usage de logiciel d'échanges directs de pair à pair. Les applications en interaction directe avec Internet sont ainsi à utiliser exclusivement dans leur version Web (Par exemple, WebMail pour la consultation du courrier électronique, WebChat pour les discussion en ligne en temps réel).


Et c'est bien simple, seuls les ports 53 (DNS), 80 (HTTP) et 443 (HTTPS) sont ouverts.
Sans parler de peer-to-peer, je ne vois pas de raisons valides pour interdire POP3, IMAP, SMTP, FTP, et SSH... Pas de SSH. WTF?!

Je pose une question : qui sont les gens qui prennent ce genre de décisions stupides ?

Sérieusement, il est claire dans leur charte que l'utilisation est réservée au boulot, aux études etc. Comment on bosse sans ssh quand on est étudiant, en informatique qui plus est ? Pas de git possible, pas de connexion à son serveur (irc pour discuter avec les gens avec qui on doit bosser en groupe) ou à son école (pas besoin d'explications ici), et parfois pas même d'accès à ses mails !
Par exemple au labo où je fais mon stage, je n'ai pas de webmail, j'ai juste un accès IMAP à ma boite mail et je la consulte en utilisant un client en ligne de commande (Alpine) sur les serveurs du labo : je suis obligé de passer par ssh ! (Et c'est très bien.)

De plus, la charte interdit l'écoute des connexions des autres. En admettant que les personnes qui ont signés la charte l'ont lu et la respecte (hahem...) il reste que sur un réseau wifi ouvert comme ça n'importe qui de l'extérieur peut passer à proximité de la résidence et écouter ce qui se passe sur le réseau. Et on a pas le droit d'utiliser un tunnel ssh pour chiffrer sa connexion ? Encore une fois c'est bêtement stupide.

Ensuite en dehors des raisons techniques, interdire l'utilisation de certains protocoles, en particulier ceux de peer-to-peer, parce que leur utilisation permet de faire des choses illégales est exactement la même chose qu'interdire l'utilisation d'une langue parce que quelqu'un aurait dit des choses pas bien avec.

Quand à l'interdiction des protocoles de messageries instantanées, je ne vois même pas un début de semblant de raisons...

Donc bon je le dis clairement, j'ai signé pour avoir mes identifiants (c'est trop galère de mettre en place de l'IP over DNS et de toutes façons la connexion serait bien moins bonne, mais bon je me ferais ça un jour, et je posterai certainement un tuto ici) mais je m'autorise entièrement l'utilisation de SSH (sur un serveur qui écoute sur un des trois ports autorisés) pour faire tout ce dont j'ai besoin : un tunnel chiffré pour mon navigateur, et utilisation "classique" (remote login, git, etc).
Faut pas prendre les gens pour des abrutis non plus.