Archive pour ‘logiciel de sécurisation’ tag
[->] Full Disclosure du logiciel anti-p2p d’Orange
A lire sur :
Patriotic botnet with Orange’s HADOPI software (Full Disclosure)
Et aussi : Full Disclosure : le logiciel anti P2P d’Orange souffrirait d’une grosse faille (PC Inpact)
[Interview] Orange : « Notre logiciel n’a aucun lien avec Hadopi »
Le 10 juin, Orange sortait le « Contrôle de téléchargement », une offre visant à «sécuriser et contrôler vos ordinateurs connectés à Internet contre des usages de téléchargement illégaux en peer-to-peer». Pour deux euros par mois, ce logiciel, disponible uniquement sous Windows, «bloque l’exécution» de programmes P2P.
Dans les Conditions générales d’utilisation du produit, Orange se dégage de toute responsabilité d’utilisation. Et Nordnet, l’éditeur du logiciel, précise qu’il ne garantit pas que ce dernier «protège contre tout contournement », « intrusion » ou « utilisation frauduleuse » par un tiers. En clair qu’il n’a pas de valeur légale dans le cadre de la loi Création et Internet. Celle-ci prévoit une sanction pour « défaut de sécurisation » de l’accès Internet. Pour prouver sa bonne foi, l’abonné devra avoir installé l’un des «logiciels de sécurisation» labélisés par l’Hadopi. A ce jour, aucun logiciel n’a été labellisé ; et le cahier des charges des spécifications se fait toujours attendre. Pourtant on trouve différentes références à Hadopi au sein du logiciel (ici et là).
Dimanche, le blogueur bluetouff s’aperçoit que ce logiciel communique avec un serveur distant, et que tout transite de façon publique. Sur une page web, on peut voir en clair les adresses IP des visiteurs et des clients qui ont activé le logiciel. Aussi, il s’avère que l’accès à l’administration de ce serveur n’est pas sécurisée ; ont été laissés les log-in et pwd par défaut. Parallèlement, certains ont décompilé le logiciel, et laissé entendre qu’il collecterait des données personnelles et les transmettrait à un tiers.
Owni a contacté Orange pour faire un point.
Image : CC Geoffrey Dorne
[->] « La sécurité à deux euros par mois, ça n’existe pas »
A lire sur : HADOPI et failware de « sécurisation » Orange (Bluetouff’s blog)
Et aussi : HADOPI et Orange, unis pour le pire… (Ma petite parcelle d’Internet)
[Actu] Le logiciel anti-p2P d’Orange : « négligence caractérisée » ?
On savait qu’il y avait de l’Hadopi dans l’offre de sécurisation proposée depuis quelques jours par Orange. Soit un logiciel de « contrôle de téléchargement » qui permet à un abonné de bloquer les logiciels p2P sur sa ligne. Maintenant, on sait qu’il y a aussi des trous.
Cet après-midi, sur son blog, Bluetouff a révélé que les adresses IP de tous les clients du logiciel étaient publiques. En fait, le logiciel « communique avec un serveur distant, un servlet java situé sur l’IP 195.146.235.67″. Pour obtenir cette IP, Bluetouff explique avoir « sniffé les sorties de ce soft avec Wireshark » sur son propre réseau local. Avant d’ajouter « Du coup, nous n’avons pas eu trop de mal à trouver ce servlet ». Or, poursuit-il, toutes les connexions à ce serveur « transitent en clair », et sont visibles publiquement sur une page web, la page « Statut » du serveur chez JBoss. C’est-à-dire qu’on peut y voir publiquement les adresses IP de toutes personnes qui s’y connectent, mais aussi de tous ceux qui ont acheté et activé le logiciel d’Orange. On peut d’ailleurs trouver des listes de ces IP en ligne (image ci-dessus).
Ca n’est pas tout. Bluetouff nous indique que, sur cette page « Statut », ont été repérées des connexions à la page administration du serveur d’Orange. « C’est rendu possible par un oubli débile : ils ont laissé les mots de passe par défaut sur l’admin : admin/admin ». Qui étaient ces gens et que faisaient t-ils ? « Impossible de savoir », répond Bluetouff. Avant de nous expliquer que, s’il s’agit de personnes mal intentionnées, « ils peuvent modifier le JAR, qui injecte du code aux logiciels client ». Et y inoculer n’importe quel malware. Et ainsi infecter tous les postes des abonnés qui ont souscrit au logiciel anti-p2p d’Orange.
« C’est pas ça une négligence caractérisée ? », ironise Bluetouff sur son blog.
MaJ : En quelques heures, la page « Statut » du serveur était devenue inaccessible. Tombé ou désactivé ?
Maj 14/06/10 : Comme nous le fait remarquer Moui en commentaire, la page « Statut » du serveur est de nouveau accessible. (voir image)
[->] Orange vous sécurise … ayez confiance !
A lire sur : Orange vous sécurise … ayez confiance ! (Bluetouff’s blog)
Source : Servlet java 195.146.235.67 (JBoss Community)
A lire aussi les épisodes précédents sur PC Inpact :
- Hadopi : le logiciel de sécurisation version Orange bloque le P2P
- Des traces « Hadopi » dans le cœur du logiciel anti-P2P d’Orange
- Suspension malgré la sécurisation à 2 €: Orange pas responsable
[->] Hadopi : le logiciel de sécurisation du Wifi enterré ?
Source : Mon déjeuner avec Eric Walter le secrétaire général d’Hadopi (Kelblog)
Source : Hadopi : « Éric Walter est venu chez moi (…) avec sa directrice de la com » (PC Inpact)
[Actu] L’Hadopi a un visage…. et beaucoup de questions à résoudre
« La fameuse Hadopi a enfin un visage » a déclaré, ce matin, le ministre de la culture, Frédéric Mitterrand, à l’occasion de l’installation officielle de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet. Et de la présentation de sa présidente : Marie-Françoise Marais, conseiller à la cour de cassation, qui s’est tenu à un discours lapidaire, et refusé à tout autre commentaire.
L’intervention du ministre, puis la séance de questions qui a suivi, ont confirmé le flou, et les nombreuses questions en suspens à propos : du calendrier de mise en œuvre de l’Hadopi, de la suspension du seul accès Internet dans le cadre des offres triple-play, du logiciel de sécurisation ou encore de la prise en charge des coûts pour les fournisseurs d’accès Internet.
« Une création livrée au leurre de la gratuité sans droits pour les auteurs serait immédiatement atrophiée »
« Il s’agit rien de moins que d’inventer une évolution et une adaptation de la problématique des droits d’auteur à l’ère numérique » a indiqué le ministre, à propos de la mission de l’Hadopi. « C’est un enjeu évidemment crucial pour notre création sous toutes ses formes dans notre pays. Car une création livrée au leurre de la gratuité sans droits pour les auteurs serait immédiatement atrophiée, pour ne pas dire étouffée. » Avant d’ajouter que « c’est le rôle de l’Etat de veiller à l’équilibre des intérêts, c’est à dire à l’intérêt général et à la continuité du droit quelques soient les évolutions technologiques. Cette exigence a un nom : la régulation ».
