[Dossier] Failware d’Orange

Ce dossier n’aurait jamais put être rédiger sans:
BlueTouff, point d départ du scandale
La communauté des Hacker Français qui ont démonté l’outil d’Orange.

Je procède par ordre chronologique. D’une part car c’est plus logique mais surtout car je suis un gros feignant qui n’a pas envie de tout refaire de zéro! Avertissement: ceci est un pavé indigeste.

~~~~~
ACTE I
(13 juin 2010)

~~~~~

Une vague… Une vague
Internet… Internet, by Orange.

Dans le même ton je propose:
Une claque… Une claque
La sécurité… La sécurité by Orange.

~

On commence par une bonne nouvelle: l’ami Bluetouff a craqué et reblogue pour notre plus grand bonheur :-) (il avait était DDoS par l’équipe Waka.).

Et il commence fort: un billet sur le logiciel anti-P2P d’Orange. Prêt à rire pleurer vomir tout ça?

Alors non seulement ce magnifique truc à 2 euro par mois vous empêche de profiter de Spotify, Skype, les logiciels Blizzard et tout les P2P légal sans vous fournir une protection contre HADOPI ou de votre ligne, mais en plus il y a une faille de sécurité rendant public l’adresse IP des internautes utilisant cette arnaque ce service. Pourquoi est-ce un échec, quoi qu’il arrive:

Prenons le cas d’un logiciel qui utilise le P2P: Spotify. Si le truc d’Orange le bloque c’est absurde car légale. Et il y a des offres payantes. Soit Orange ne le bloque pas. Mais dans ce cas le logiciel, contrairement à ses promesses, ne censure pour tout le P2P. Dans un cas comme dans l’autre le failware perd.

Même question avec Skype, sauf qu’en plus ce logiciel peut faire concurrence au marché d’Orange. Question encore plus épineuse donc.

Principe? Faille de sécurité monstre de la part d’Orange: le truc anti-P2P communique avec un servlet java (ici) en clair (même pas crypté). Les IP des clients orange utilisant cette “chose” sont public (enfin étaient) et circulent déjà sur le net. Ce ne serait pas étonnant qu’elle se retrouvent SeedFucker sur les trackers surveillés par TMG (l’idée est sur le twitter de Bluetouff ^^).

Selon Numerama, un internaute a trouvé comment accéder à la console admin. Il a trouvé le mot de passe: “admin”. Mais Nordnet aurait rectifié son erreur. Si ça avait été un pirate, il aurait pu modifier le logiciel en malware (virus, etc…) lors d’une prochaine mise à jour.

source: Bluetouff… On en parle même en anglais!

~~~~~
ACTE II
(14 juin 2010)

~~~~~

Jeudi / Vendredi:
-la CNIL autorise la collectes des IP par la TMG (Numerama & pro-clubic)
-Orange lance un logiciel anti-P2P à 2€ / mois (info officiel)
-Ce logiciel bloque tout le P2P sur votre Ordi, légal ou pas, sans vous protéger contre HADOPI (PC-INpact).
-requiert 512 Mo de RAM et 20 Mo de disque dur. Que pour Windows bien sur.
-Éditeur: une filiale de France Telecom d’Orange (collons un seul nom derrière tout ces trucs): Nordnet.

~

Vendredi:
On découvre des traces d’HADOPI dans le code du soft d’Orange (PC-INpact).

Dans le binaire, on trouve en effet la mention : « C:\Documents and Settings\jbroutin\Mes documents\Visual Studio 2008\Projects\ddp-hadopi\hadopi-client-gui\trunk\Release\cdtsvc.pdb ». Une base de données rangée dans le dossier ddp-Hadopi, lui-même abritant le dossier « Hadopi-Client-Gui » (Gui pour Graphical User Interface)….

Conséquence: indignation sur la toile samedi.

Orange garantis tout blocage de P2P. Sécuriser = bloquer. Or comme le rappel très bien Kusanageek (qui a fait un excellent billet sur le sujet) le P2P est légal:
téléchargement de la dernière distribution Linux, Skype, Spotify, Blizzard Downloader et certains albums de musique comme NIN. HADOPI surveille le P2P illégale, mais il faut savoir qu’on peut pirater sans le P2P et faire du P2P sans pirater. En gros ce logiciel est absurde.

~

Dimanche: BlueTouff révèle la big faille de sécurité:
Le logiciel chez le client (vous?) se connecte à un serveur distant de la dite NordNet (servlet JAVA tout bête). Les IP des clients et des curieux qui se sont connectés dessus.
Cette connexion à lieu en clair. Pas de cryptage.
Ce IP sont visible au grand public.

A quoi peuvent servir ces IP? SeedFuck vous connaissez? C’est a prévoir, un malin prend ces IP, modifie SeedFuck. Trouve les fichiers surveillés par TMG. Créé un virus. Point.

On avait pensé qu’Orange avait arrêté l’hémorragie le soir même car on ne pouvait plus accéder aux IP. Mais même pas: la panne temporaire était du au trop grand nombre de requêtes! (Numerama).

Un internaute découvre que pour accéder au serveur, l’identifient et le mot de passe sont “admin” (ceux par défaut). Si un hacker avait découvert ça, et gardé ça pour lui, il aurait put injecter lors de la prochaine mise à jour du logiciel un malware (spyware / virus / etc…). Une preuve? ici.

~

Ce lundi: on en parle partout. PARTOUT! La liste des IP capturées courent sur le net. Certain vont à dire qu’Orange et HADOPI ne font qu’un. Il ne manquerait plus qu’un ancien ministre qui était sur le dossier HADOPI se retrouve à la tête d’Orange et se serait… Ha pardon… Déjà fait.

Le logiciel s’adresse surtout au parents, voulant empêcher leur têtes blondes de “pirater” (c’est réservé à eux). Mais un moyen de contournement accessible à un niais en informatique de moins de 8 ans (PC-INpact). Même site autre news: tout était écrit il y a deux ans. Preuve par a+b qu’Orange est vraiment à VOMIR.

A visiter, la mise en place du routeur anti-HADOPI sur plugngeek.net ou mon billet “3 moyen de passer outre HADOPI“.

Enfin mieux vaut en rire: un bot Google attaque Orange !(cf première réponse). On sait que le logiciel se contente de bloquer des logiciel potentiellement P2P dans une liste, quel que soit l’usage. Selon le contrat même Spotify ou Skype serait bloqués. Et Skype pouvant potentiellement faire concurrence à Orange…

P2Pla.net présente le fond du code merdique. On a confirmation qu’il n’y a aucun lien entre HADOPI et ce logiciel à deux balles (ou pas). BlueTouff refait un article avec plus de recule et plus de liens.

Mais avec Orange la meilleur défense c’est l’attaque: Orange se dit victime d’une intrusion informatique, by Numerama. Facile. Efficace. Orange fait implicitement référence à l’article 323-1 du code pénal, qui punit d’une peine de deux ans d’emprisonnement et de 30k € d’amende “le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données“.

~

Ce soir: même TorrentFreak en parle. C’est LE site de référence en news P2P. Google translate, viens à moi!

En réponse à la loi HADOPI, la semaine dernière un FAI français a commencé à proposer un service de blocage le partage de fichiers sur les connexions des clients pour “seulement” 2 euros par mois. Il n’a pas fallu longtemps pour que les failles dans l’horrible système soient trouvées, qui a violé non seulement la vie privée des abonnés, mais qui les expose à des menaces de sécurité.

~

Le Monde en parle timidement… Très timidement. Libération aussi via Ecran.fr. C’est timide côté le Monde: le père Sarko voudrait bien que le patron d’Orange rachète le groupe presse plutôt que se soit celui de Free. Ecran l’ouvre un peut plus, heureusement. 20 minutes aussi; certes moins précis et plus accessible que la presse spécialisé, ils sont plus grand public… enfin espérons. Plus il y a de monde au courant, mieux c’est.

~

Chaque source est cité à côté de l’information extraite. Images de BlueTouff et TheInternets.

~~~~~
ACTE III
(15 juin 2010)

~~~~~

~

2010-juin-15: Mardi… matin

Orange poursuit sa contre-attaque en se disant “victime“. Facile. Un victime ne pourrait se faire attaquer pour négligence de sécurisation de ses clients comme le prévoie la loi (loi de 78 article 34 et article 226-17 du Code Pénal). Mieux on fait peur aux internautes en faisant planer des menaces de procès si ils cherchent des failles. Et la “com’ officiel ” tourne.

Le soft n’est plus disponible en libre téléchargement. Le client passe commande, Orange lui envoie un e-mail avec un lien pour télécharger le logiciel dedans (simple).

Orange avait directement affirmé que le logiciel DTC CDT (Contrôle Des Téléchargements) était un “logiciel HADOPI” à ZDnet (vendredi).

Contacté par ZDNet.fr, Orange affirme que ce logiciel « est une obligation imposée par la loi Hadopi » qui vise « les parents et les personnes ayant déjà reçu un avertissement ».

Confirmation si on regarde le code source:

Dans le binaire, on trouve en effet la mention : « C:\Documents and Settings\jbroutin\Mes documents\Visual Studio 2008\Projects\ddp-hadopi\hadopi-client-gui\trunk\Release\cdtsvc.pdb ». Une base de données rangée dans le dossier ddp-Hadopi, lui-même abritant le dossier « Hadopi-Client-Gui » (Gui pour Graphical User Interface)….

Mais Orange a le culot, d’affirmer via une interview sur Owni:

“Notre logiciel n’a aucun lien direct avec Hadopi”

Hum… J’ai envie de dire “MENTEURS”, mais est-ce diffamatoire? Pour l’au cas ou je ne vais pas le dire. Dans la suite de l’interview le représentant d’Orange n’a aucune idée du fonctionnement du logiciel, et affirme être victime de Piratage. Le degré de sécurisation du serveur n’ayant rien à voir avait le fait de l’avoir pénétré. Un version Mac serait prévu au programme (“va certainement venir”); mais comment croire des menteurs incompétents gars d’Orange? (pas de diffamation.). Anticipation à la loi? Et mon cul c’est du poulet?

Après Orange tente de faire passer son horreur pour un anti-virus. Oui les logiciel de P2P sont des virus apparemment. A quand un gars pour exiger la peine de mort pour les pirates? A déjà fait. Ce soft s’adresse à des gens qui font confiance à Orange et qui ne liront jamais ces lignes. Ils ne s’y connaissent pas assez pour savoir la vérité.

~~~~~

2010-juin-15: Mardi… après midi:

Fail. Pardon. GROS FAIL… Non attendez… P***** de gros B**** de M**** de FAIL à la C**. Ce soft était déjà considéré comme un malware. Maintenant c’est sur.

Selon ce bulletin d’alerte publié sur la liste Full Disclosure, le Contrôle du Téléchargement souffre d’une faille de sécurité monstre qui pourrait:
-permettre à un utilisateur lambda du PC sur lequel est installé cette chose d’avoir les droits “Admin”.
-pire ce logiciel peut être détourner pour prendre le contrôle de l’ordinateur sur lequel c’est installé à distance. Le transformant en bot (créez votre entreprise de DDoS à vous) / spyware. Pas mal pour un logiciel de sécurisation. infos via PC-INpact & Numerama.

The cult of the dead HADOPI was hoping this software designed to protect the French citizen from illegal downloading, designed to give real offensive capacities to the French government, would at least be secure.

It is not.

We retrieved some of the commands one can send to the named pipe:
- 1002: check password
- 1006: set password
- 1007: get secret question
- 1009: check if an update is available
- 1010: ask for an update
- 5000: enable/disable the “protection”
- 5002: get history
- 5003: get updates history
- 5004: change the configuration

The 5004 order is really interesting: it can modify the internal configuration (proxy host and port, updates server address, answer to the secret question, licensed state).

A local user with no privilege can communicate with the service through the named pipe, change the configuration to use a proxy server. Then, the evil bastard will request an update. The request will arrive on the proxy, and the proxy will serve a backdoor (OMG!)

Merci à “CULT OF THE DEAD HADOPI” le groupe d’internautes qui a révélé tout ça.

~

Seul journal grand public à relayer l’info: Libération via Ecran.fr. Les sources sont à coté des propos avancés. Image: Flickr.

~~~~~
ACTE IV
(16 juin 2010)

~~~~~

~

2010 juin 16, Mercredi matin:

Zataz revient sur la team qui a fouillé dans l’Albaniciel d’Orange: “Cult of the Dead HADOPI” (référence à une équipe de Hacker “Cult of the Dead Cow“). Ils reviennent sur les découvertes dans le code source, pour prouver leurs avances “de terrible complot”.

Au programme: des spéculations. Le gouvernement Français ne vaudrait pas plus cher que le gouvernement Chinois. La mise en place de ce logiciel par une entreprise anciennement dépendante de l’État, et dont l’état est actionnaire majoritaire aurait pour but de constituer un réseaux de botnet à la solde de l’État Français. En vu de créer des cyber-attaques comme le fiat déjà la Chine. Bref ça fait peur rire réfléchir.

Bien sur c’est du pur Fantasme. Mais les arguments sont logique. Enfin non, impossible que se soit ça: on ne fiat pas un botnet avec pour sécurisation “admin / admin”. En fait c’est juste que c’est tellement mal conçu que on pourrait croire ça. Mais non.

~

2010 juin 16, Mercredi après midi:

JBoss était est un des points clé dans la non sécurisation de l’outil. La vulnérabilité de ces serveurs a été montré au SSTICn, PC-INpact revient sur ce point.

“Un attaquant ayant accès à l’une de ces interfaces peut récupérer de nombreuses informations concernant le serveur, modifier la configuration « à chaud » voir même déployer ses propres applications web sur le serveur (webshells) lui permettant d’asservir totalement le serveur (y compris le système d’exploitation) à ses besoins. Une fois cet objectif atteint, libre à l’attaquant de rebondir sur d’autres systèmes…”

Les principales failles du serveur JBoss qui a permet la diffusion des IP (par connexion sur une simple URL dans votre navigateur) est très bien expliqué ici. Les autres failles (nombreuses) sont (anglais).

~

2010 juin 16, Mercredi… soir

Via le Twitter de BlueTouff on apprend le retrait (temporaire?) de l’outil. Les clients seront-ils remboursés? Ça Quand ça reviendra?

Selon cette source le retrait serait définitif et il y aurait eu environ 20 clients. Comment les croire, surtout quand ils mentent encore à propos “d’erreur interne” qui fait que le mot “HADOPI” se retrouve dans le code du logiciel alors qu’il n’y a “aucun lien”.

(j’ai zoomé sur le truc intéressant)

image

~
~~~~~
~

Conclusion? L’histoire a duré six jour. Ne pas faire confiance à Orange pour votre sécurité anti-HADOPI. Je m’en charge ;-)


One Response to “[Dossier] Failware d’Orange”

  1. alert(‘dz’);

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

 
Follow

Get every new post delivered to your Inbox.

%d bloggers like this: