Skip to content

Orange, Sécurisation par l’absurde

15 juin 2010

En fin de semaine dernière, Orange proposait à ses abonnés un logiciel de « contrôle du téléchargement » au prix de 2 € par mois. Retour sur une série de couacs qui met en évidence les liens entre Orange et Hadopi, ainsi que l’impossible question du logiciel de sécurisation de la ligne Internet prévue par la Loi Hadopi.

Un logiciel de sécurisation qui ne sécurise pas grand chose.

Surfant sur la vague de peur que peut susciter la loi Hadopi, à savoir de se voir couper son accès Internet après plusieurs avertissements pour téléchargement illégale sur les réseaux de type pair-à-pair, la société Orange-France Télécom toujours soucieuse de trouver le bon filon pour extorquer de l’argent à ses clients vendre plus de service pour ses clients, propose depuis peu un logiciel de sécurisation, dit « Contrôle du téléchargement ». Ce logiciel est proposé contre un abonnement au service de sécurisation coûtant 2 €/mois à l’abonné.

Le service proposé par Orange propose de télécharger et d’installer le logiciel de sécurisation sur seulement 3 postes informatiques. C’est là l’une des première failles du système. Depuis le début des débats, il est rappelé qu’il est possible que sa ligne Internet soit utilisée à des fins frauduleuses par une personnes tiers se connectant sur le réseaux Wi-fi d’un particulier. Le logiciel de sécurisation proposé par Orange ne protège pas la box, mais simplement le poste de travail sur lequel il est installé.

Extrait de la licence de l’éditeur du logiciel Orange, Nordnet :

« Aussi, Vous reconnaissez que NordNet ne garantit pas notamment, mais non limitativement :
[…]
– que le Logiciel protège votre accès à Internet contre toute intrusion de tiers non autorisés utilisant votre accès à Internet à des fins frauduleuses (notamment à des fins de téléchargement illégal),
[…] « 

Pour installer et exécuter ce logiciel, il vous faudra presque 500 Mo de libre sur votre machine. Ce logiciel bloquera l’exécution de  tout programme dont le code est strictement similaire au code d’un logiciel de téléchargement P2P renseigné dans la base de l’éditeur Nordnet.  Si vous utilisez un fork d’un de ces logiciels, vous contournez aisément le logiciel de « contrôle du téléchargement »  Orange.

Extrait de la licence de l’éditeur du logiciel Orange, Nordnet :

« Vous reconnaissez que le Logiciel est fourni « en l’état » sans autre garantie que celle que le Logiciel proposé par NordNet est à même :

– d’identifier les programmes peer-to-peer correspondant à la liste à jour sur la base utilisée par NordNet, ceci excluant la possibilité d’identifier tout programme peer-to-peer dont le code source ne serait pas strictement identique à celui ayant servi de base à l’établissement de la liste précitée,
– de bloquer, le cas échéant, l’exécution des programmes peer-to-peer susvisés que le micro-ordinateur sur lequel le Logiciel est installé tenterait d’exécuter. »

En somme, rien ne garantie au client d’Orange que ce logiciel de sécurisation le prémunira de poursuite par la Haute Autorité.

Orange et Hadopi, partenaires

« D’abord je tiens à dire que c’est une loi qui dès le début a été portée par France Télécom Orange, qui vraiment a été partenaire parce que tout simplement tout le monde a intérêt à ne pas avoir des contenus piratés qui prolifèrent sur Internet, ce qui fait c’est qu’il y avait vraiment une rencontre des opérateurs et des ayants droit. Orange France Télécom a été dès le début dans les discussions et a été signataire d’ailleurs des Accords de l’Elysée. »

Ce discours est celui de Madame Christine Albanel, membre de la direction du groupe Orange France Telecom et ancienne ministre de la Culture (Anéfé c’est bien la même qui nous a tant fait rire avec son logiciel de sécurisation OpenOffice.org). Preuve en est : voila ce que l’on peu trouver si l’on ouvre l’exécutable du logiciel de sécurisation avec un éditeur de texte :

Il y a donc une référence au dossier de travail ../ddp-hadopi/hadopi-client-gui/ dans le logiciel de sécurisation d’Orange. Est-ce une simple coïncidence ? Non d’après Dyblast, lecteur de PcInpact qui dès vendredi pointait une url de chez Nordnet appelé par le logiciel de sécurisation d’Orange : http://www.pcinpact.com/link.php?url=http%3A%2F%2Fupdate-cdt.nordnet.fr%2Fhadopi-server-technical-ws-1.0.x%2FHadopiTechnicalServlet

De Peer en Peer

Le célèbre bloggueur et White Hats Bluetouff, expert en sécurité informatique et militant anti-Hadopi (qui a réouvert son blog pour l’occasion) nous explique sur son blog :

« Le logiciel communique avec un serveur distant, un servlet java en fait situé sur l’ip 195.146.235.67. Tout transite en clair, et tout est PUBLIC… on a même les IP des clients qui ont activé et acheté ce soft, comme les ip des simples visiteurs de cette page qui va devenir culte. (NdLR, le problème a été corrigé depuis) »


Pour se faire, il a tout simplement « sniffé » les sorties du logiciel de sécurisation avec le logiciel Wireshark sur son propre réseau local.

Dès lors, toute les IPs des clients Orange ayant souscrit à l’abonnement pour se sentir en sécurité vis à vis de la Loi dite Hadopi, ont été ajoutées à la listes des IPs des logiciels IPfuck et SeedFuck, dès générateurs de fausses adresses IPs pour naviguer sur Internet ou bien télécharger des fichiers sur les réseaux pair-à-pair sans ce faire repérer.

Lorsque les agents assermentés commenceront la récolte des adresses IPs, les premiers clients du logiciel de sécurisation Orange seront donc, ironiquement, parmis les plus exposés.

Plus grave encore : Le serveur JBoss sur lequel se connecte le logiciel de sécurisation Orange aveit pour identifiant/mot de passe : admin/admin. Du coup, toujours d’après Bluetouff :

« C’est rendu possible par un oubli débile : ils ont laissé les mots de passe par défaut sur l’admin : admin/admin. […] ils peuvent modifier le JAR, qui injecte du code aux logiciels client. »

Quand au site TheInternets, il craint qu’il que des personnes mal intentionnées puissent « inoculer n’importe quel malware. Et ainsi infecter tous les postes des abonnés qui ont souscrit au logiciel anti-p2p d’Orange

Contacté par Numérama sur ce sujet, Orange France Télécom se défend en se disant victime d’une intrusion informatique. Ainsi selon une de ces porte-parole :

« Nous avons été victimes ce dimanche d’une intrusion informatique ayant conduit à la publication d’adresses IP  de quelques internautes ayant téléchargé le logiciel de contrôle du téléchargement proposé par Orange depuis le jeudi 10 juin 2010« 

Ainsi la diffusion des adresses IPs de ses clients « ne résulte pas d’une diffusion de la part d’Orange, mais bien d’une intrusion informatique« , accusation sans fondement puisque les informations étaient accessibles en clair sur Internet et ce sans mot de passe.

Pour compléter le tableau, il existe depuis ce week-end un crack, permettant de faire sauter le verrou anti P2P du logiciel de sécurisation d’Orange. Cette version modifiée permet de rentrer n’importe quel mot de passe afin de déverrouiller le logiciel à l’insu de la personne ayant installée le logiciel.

Nul doute qu’avec une telle équipe de branquignols, il faudra au Responsable Sécurité du SI d’Hadopi des nerfs d’acier

Publicités
One Comment

Trackbacks & Pingbacks

  1. Orange, les pieds dans l’Hadopi « Winael's Blog

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :