[dossier] Failware d’Orange, (suite et… Fin?)

Ce billet est la suite de ça et ça.

Internet… Internet.

La sécurité… la sécurité.

~~~~~

2010 juin 16, Mercredi matin:

Zataz revient sur la team qui a fouillé dans l’Albaniciel d’Orange: “Cult of the Dead HADOPI” (référence à une équipe de Hacker “Cult of the Dead Cow“). Ils reviennent sur les découvertes dans le code source, pour prouver leurs avances “de terrible complot”.

Au programme: des spéculations. Le gouvernement Français ne vaudrait pas plus cher que le gouvernement Chinois. La mise en place de ce logiciel par une entreprise anciennement dépendante de l’État, et dont l’état est actionnaire majoritaire aurait pour but de constituer un réseaux de botnet à la solde de l’État Français. En vu de créer des cyber-attaques comme le fiat déjà la Chine. Bref ça fait peur rire réfléchir.

Bien sur c’est du pur Fantasme. Mais les arguments sont logique. Enfin non, impossible que se soit ça: on ne fiat pas un botnet avec pour sécurisation “admin / admin”. En fait c’est juste que c’est tellement mal conçu que on pourrait croire ça. Mais non.

~

2010 juin 16, Mercredi après midi:

JBoss était est un des points clé dans la non sécurisation de l’outil. La vulnérabilité de ces serveurs a été montré au SSTICn, PC-INpact revient sur ce point.

“Un attaquant ayant accès à l’une de ces interfaces peut récupérer de nombreuses informations concernant le serveur, modifier la configuration « à chaud » voir même déployer ses propres applications web sur le serveur (webshells) lui permettant d’asservir totalement le serveur (y compris le système d’exploitation) à ses besoins. Une fois cet objectif atteint, libre à l’attaquant de rebondir sur d’autres systèmes…”

Les principales failles du serveur JBoss qui a permet la diffusion des IP (par connexion sur une simple URL dans votre navigateur) est très bien expliqué ici. Les autres failles (nombreuses) sont (anglais).

~

2010 juin 16, Mercredi… soir

Via le Twitter de BlueTouff on apprend le retrait (temporaire?) de l’outil. Les clients seront-ils remboursés? Ça Quand ça reviendra?
EDIT: selon cette source le retrait serait définitif et il y aurait eu environ 20 clients. Comment les croire, surtout quand ils mentent encore à propos “d’erreur interne” qui fait que le mot “HADOPI” se retrouve dans le code du logiciel alors qu’il n’y a “aucun lien”.

(j’ai zoomé sur le truc intéressant)

~~~~~

Je finirais par ceci: prenons le cas d’un logiciel qui utilise le P2P: Spotify. Si le truc d’Orange le bloque c’est absurde car légale. Et il y a des offres payantes. Soit Orange ne le bloque pas. Mais dans ce cas le logiciel, contrairement à ses promesses, ne censure pour tout le P2P. Dans un cas comme dans l’autre le failware perd.

~

image

~ by so0n on 2010/06/16.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
%d bloggers like this: