[dossier] Fail du logiciel de sécurisation d’Orange

Pour ceux qui ont vécus dans une grotte depuis jeudi soir…

Jeudi / Vendredi:
-la CNIL autorise la collectes des IP par la TMG (Numerama & pro-clubic)
-Orange lance un logiciel anti-P2P à 2€ / mois (info officiel)
-Ce logiciel bloque tout le P2P sur votre Ordi, légal ou pas, sans vous protéger contre HADOPI (PC-INpact).
-requiert 512 Mo de RAM et 20 Mo de disque dur. Que pour Windows bien sur.
-Éditeur: une filiale de France Telecom d’Orange (collons un seul nom derrière tout ces trucs): Nordnet.

~~~~~

Vendredi:
On découvre des traces d’HADOPI dans le code du soft d’Orange (PC-INpact).

Dans le binaire, on trouve en effet la mention : « C:\Documents and Settings\jbroutin\Mes documents\Visual Studio 2008\Projects\ddp-hadopi\hadopi-client-gui\trunk\Release\cdtsvc.pdb ». Une base de données rangée dans le dossier ddp-Hadopi, lui-même abritant le dossier « Hadopi-Client-Gui » (Gui pour Graphical User Interface)….

Conséquence: indignation sur la toile samedi.

Orange garantis tout blocage de P2P. Sécuriser = bloquer. Or comme le rappel très bien Kusanageek (qui a fait un excellent billet sur le sujet) le P2P est légal:
téléchargement de la dernière distribution Linux, Skype, Spotify, Blizzard Downloader et certains albums de musique comme NIN. HADOPI surveille le P2P illégale, mais il faut savoir qu’on peut pirater sans le P2P et faire du P2P sans pirater. En gros ce logiciel est absurde.

~~~~~

Dimanche: BlueTouff révèle la big faille de sécurité:
Le logiciel chez le client (vous?) se connecte à un serveur distant de la dite NordNet (servlet JAVA tout bête). Les IP des clients et des curieux qui se sont connectés dessus.
Cette connexion à lieu en clair. Pas de cryptage.
Ce IP sont visible au grand public.

A quoi peuvent servir ces IP? SeedFuck vous connaissez? C’est a prévoir, un malin prend ces IP, modifie SeedFuck. Trouve les fichiers surveillés par TMG. Créé un virus. Point.

On avait pensé qu’Orange avait arrêté l’hémorragie le soir même car on ne pouvait plus accéder aux IP. Mais même pas: la panne temporaire était du au trop grand nombre de requêtes! (Numerama).

Un internaute découvre que pour accéder au serveur, l’identifient et le mot de passe sont “admin” (ceux par défaut). Si un hacker avait découvert ça, et gardé ça pour lui, il aurait put injecter lors de la prochaine mise à jour du logiciel un malware (spyware / virus / etc…). Une preuve? ici.

~~~~~

Ce lundi: on en parle partout. PARTOUT! La liste des IP capturées courent sur le net. Certain vont à dire qu’Orange et HADOPI ne font qu’un. Il ne manquerait plus qu’un ancien ministre qui était sur le dossier HADOPI se retrouve à la tête d’Orange et se serait… Ha pardon… Déjà fait.

Le logiciel s’adresse surtout au parents, voulant empêcher leur têtes blondes de “pirater” (c’est réservé à eux). Mais un moyen de contournement accessible à un niais en informatique de moins de 8 ans (PC-INpact). Même site autre news: tout était écrit il y a deux ans. Preuve par a+b qu’Orange est vraiment à VOMIR.

A visiter, la mise en place du routeur anti-HADOPI sur plugngeek.net ou mon billet “3 moyen de passer outre HADOPI“.

Enfin mieux vaut en rire: un bot Google attaque Orange !(cf première réponse). On sait que le logiciel se contente de bloquer des logiciel potentiellement P2P dans une liste, quel que soit l’usage. Selon le contrat même Spotify ou Skype serait bloqués. Et Skype pouvant potentiellement faire concurrence à Orange…

P2Pla.net présente le fond du code merdique. On a confirmation qu’il n’y a aucun lien entre HADOPI et ce logiciel à deux balles (ou pas). BlueTouff refait un article avec plus de recule et plus de liens.

Mais avec Orange la meilleur défense c’est l’attaque: Orange se dit victime d’une intrusion informatique, by Numerama. Facile. Efficace. Orange fait implicitement référence à l’article 323-1 du code pénal, qui punit d’une peine de deux ans d’emprisonnement et de 30k € d’amende “le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données“.

~~~~~

Ce soir: même TorrentFreak en parle. C’est LE site de référence en news P2P. Google translate, viens à moi!

En réponse à  la loi HADOPI, la semaine dernière un FAI français a commencé à proposer un service de blocage le partage de fichiers sur les connexions des clients pour “seulement” 2 euros par mois. Il n’a pas fallu longtemps pour que les failles dans l’horrible système soient trouvées, qui a violé non seulement la vie privée des abonnés, mais qui les expose à des menaces de sécurité.

~~~~~

Le Monde en parle timidement… Très timidement. Libération aussi via Ecran.fr. C’est timide côté le Monde: le père Sarko voudrait bien que le patron d’Orange rachète le groupe presse plutôt que se soit celui de Free. Ecran l’ouvre un peut plus, heureusement. 20 minutes aussi; certes moins précis et plus accessible que la presse spécialisé, ils sont plus grand public… enfin espérons. Plus il y a de monde au courant, mieux c’est.

~~~~~

Ce dossier n’est pas clos, je veille, comme pour Waka. Chaque source est cité à côté de l’information extraite. Images de BlueTouff et TheInternets.

About these ads

~ by so0n on 2010/06/14.

One Response to “[dossier] Fail du logiciel de sécurisation d’Orange”

  1. [...] This post was mentioned on Twitter by Charles-A Goulois, Journal du Hack. Journal du Hack said: [dossier] Fail du logiciel de sécurisation d'Orange http://wp.me/pUcKt-90 (merci @kusanageek, @Bluetouff @Korben) #journalduhack [...]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
Follow

Get every new post delivered to your Inbox.

%d bloggers like this: