[dossier] Fail d’Orange… (suite)

Ce billet est la suite de celui-ci. Je compte regrouper tout les postes en rapport avec ce sujet à la fin dans un dossier comme pour HADOPI.

~~~~

2010-juin-15: Mardi… matin

Orange poursuit sa contre-attaque en se disant “victime“. Facile. Un victime ne pourrait se faire attaquer pour négligence de sécurisation de ses clients comme le prévoie la loi (loi de 78 article 34 et article 226-17 du Code Pénal). Mieux on fait peur aux internautes en faisant planer des menaces de procès si ils cherchent des failles. Et la “com’ officiel ” tourne.

Le soft n’est plus disponible en libre téléchargement. Le client passe commande, Orange lui envoie un e-mail avec un lien pour télécharger le logiciel dedans (simple).

Orange avait directement affirmé que le logiciel DTC CDT (Contrôle Des Téléchargements) était un “logiciel HADOPI” à ZDnet (vendredi).

Contacté par ZDNet.fr, Orange affirme que ce logiciel « est une obligation imposée par la loi Hadopi » qui vise « les parents et les personnes ayant déjà reçu un avertissement ».

Confirmation si on regarde le code source:

Dans le binaire, on trouve en effet la mention : « C:\Documents and Settings\jbroutin\Mes documents\Visual Studio 2008\Projects\ddp-hadopi\hadopi-client-gui\trunk\Release\cdtsvc.pdb ». Une base de données rangée dans le dossier ddp-Hadopi, lui-même abritant le dossier « Hadopi-Client-Gui » (Gui pour Graphical User Interface)….

Mais Orange a le culot, d’affirmer via une interview sur Owni:

“Notre logiciel n’a aucun lien direct avec Hadopi”

Hum… J’ai envie de dire “MENTEURS”, mais est-ce diffamatoire? Pour l’au cas ou je ne vais pas le dire. Dans la suite de l’interview le représentant d’Orange n’a aucune idée du fonctionnement du logiciel, et affirme être victime de Piratage. Le degré de sécurisation du serveur n’ayant rien à voir avait le fait de l’avoir pénétré. Un version Mac serait prévu au programme (“va certainement venir”); mais comment croire des menteurs incompétents gars d’Orange? (pas de diffamation.). Anticipation à la loi? Et mon cul c’est du poulet?

Après Orange tente de faire passer son horreur pour un anti-virus. Oui les logiciel de P2P sont des virus apparemment. A quand un gars pour exiger la peine de mort pour les pirates? A déjà fait. Ce soft s’adresse à des gens qui font confiance à Orange et qui ne liront jamais ces lignes. Ils ne s’y connaissent pas assez pour savoir la vérité.

~~~~~

2010-juin-15: Mardi… après midi:

Fail. Pardon. GROS FAIL… Non attendez… P***** de gros B**** de M**** de FAIL à la C**. Ce soft était déjà considéré  comme un malware. Maintenant c’est sur.

Selon ce bulletin d’alerte publié sur la liste Full Disclosure, le Contrôle du Téléchargement souffre d’une faille de sécurité monstre qui pourrait:
-permettre à un utilisateur lambda du PC sur lequel est installé cette chose d’avoir les droits “Admin”.
-pire ce logiciel peut être détourner pour prendre le contrôle de l’ordinateur sur lequel c’est installé à distance. Le transformant en bot (créez votre entreprise de DDoS à vous) / spyware. Pas mal pour un logiciel de sécurisation. infos via PC-INpact & Numerama.

The  cult of  the dead  HADOPI was hoping this software designed to protect the French citizen  from illegal downloading, designed to give real offensive capacities to the  French government, would at least be secure.

It is not.

We retrieved some of the commands one can send to the named pipe:
– 1002: check password
– 1006: set password
– 1007: get secret question
– 1009: check if an update is available
– 1010: ask for an update
– 5000: enable/disable the “protection”
– 5002: get history
– 5003: get updates history
– 5004: change the configuration

The  5004 order  is really  interesting:  it can  modify the  internal configuration (proxy host and  port, updates server address, answer to the secret question, licensed state).

A  local user  with  no  privilege can  communicate  with the  service through  the named  pipe,  change  the configuration  to  use a  proxy server. Then,  the evil bastard  will request an update.   The request will arrive on the proxy, and the proxy will serve a backdoor (OMG!)

Merci à “CULT OF THE DEAD HADOPI” l’internaute qui a révélé tout ça.

~~~~~

J’espère qu’Orange va avoir la décence de patcher son horreur au plus vite, ou la retirer et rembourser ses clients. A mon avis c’est  plus économique pour eux de la retirer que de la réparer vite fait mal fait à coup de sparadraps. Seul journal grand public à relayer l’info: Libération via Ecran.fr.

~

Les sources sont à coté des propos avancés. Image: Flickr.

~ by so0n on 2010/06/15.

One Response to “[dossier] Fail d’Orange… (suite)”

  1. […] This post was mentioned on Twitter by Skalp, Journal du Hack. Journal du Hack said: [dossier] Fail d'Orange… (suite) http://wp.me/pUcKt-99 #journalduhack […]

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: