Skip to content

Orange, les pieds dans l’Hadopi

16 juin 2010

Quel est le point commun entre Hadopi et la communication chez Orange France Télécom ? La seule et l’unique Christine Albanel. Après une gestion plus que désastreuse du dossier « Création et Internet » qui s’est soldée par un camouflet constitutionnel, tant le travail de l’ex-ministre de la Culture était ni fait ni affaire, voilà que la direction de la communication de la société Orange France Télécom, dans lequel a été promue, Anéfé, Mme Albanel, est incapable de gérer le dossier « failles de sécurité » du logiciel de sécurisation d’Orange dit « Contrôle du Téléchargement ».

CommuniCOUACtion chez Orange

ACTE 1 : Le « Contôle du Téléchargement » chez Orange – Obligation imposée par la Loi Hadopi.

Contacter vendredi par ZDNet, Orange décrit ce nouveau service comme une « obligation imposée par la loi Hadopi » qui vise « les parents et les personnes ayant déjà reçu un avertissement ».

Pourtant, rien n’indique dans les Conditions Générales de Ventes un quelconque lien avec la Loi HADOPI, ni une labellisation nécessaire pour arguer d’être suffisamment sécurisé devant la Haute Autorité. Orange tout comme la Hadopi sont incapables de dire si cette labellisation sera un jour effective.

Acte 2 : Le « Contôle du Téléchargement » chez Orange – Anticipation sur la Loi Hadopi.

Devant le tollé provoqué par la sortie du logiciel de sécurisation d’Orange rempli de négligence caractérisée failles de sécurité allant de la simple possibilité de créer un crack au logiciel pour la moins grave, à la divulgation des adresses IPs des abonnés au service (plus grave) ou la possibilité de modifier les mises à jour sur le serveur non sécurisé afin d’envoyer un malware ou pire, sur le poste des abonnés (gravissime), Orange fait un virage sur l’aile comme seul les pilotes de l’air les plus chevronnés et kamikazes sont capables d’en faire. D’obligation par la Loi Hadopi, le logiciel de « Contrôle du Téléchargement » d’Orange devient une « anticipation de la loi, pour accompagner la découverte de l’offre légale et donc la maîtrise de l’accès Internet » qui s’adresse aux parents qui veulent « contrôler les téléchargements de leurs adolescents par exemple ».

Le logiciel ne sera d’ailleurs pas labellisé par l’Hadopi bien que celle-ci en ai pris connaissance.

Il existe pourtant bel et bien des liens n’ayant aucune valeur juridique entre le logiciel d’Orange et l’Hadopi. Ainsi on peut voir la notion d’Hadopi en éditant simplement le fichier cdtgui de l’application.

Acte 3 : Le « Contrôle du Téléchargement » chez Orange – Une explication claire comme des listings d’adresses IPs

Comme mentionné dans un précédent article ou un peu partout sur la toile (Numerama, PC INpact, Bluetouff.com), le fameux logiciel de sécurisation d’Orange dit « Contrôle du Téléchargement » a connu un premier Week-End fort difficile. En effet, de multiples failles de sécurités ont été découvertes dont l’une permettait à n’importe qui de consulter la liste des adresses IPs des abonnés à ce nouveau service d’Orange.

Interrogé par ZDNet, Orange confirme avoir laissé ces informations transiter en clair car, disent-ils, ne « représentant aucun risque pour nos abonnés ».

Pourtant sitôt diffusées, les IPs ont nourri les listings de logiciels comme SeedFuck qui injecte de fausses adresses IPs sur les trackers pour leurrer les sociétés en charge de la surveillance des réseaux d’échanges pair-à-pair.

Les adresses IPs générés par Seedfuck ont statistiquement un risque plus grand de se faire repérés sur les réseaux d’échanges pair-à-pair. Le risque est donc accru pour les abonnés du nouveau service d’Orange d’avoir leur adresse IP collecter par les agents assermentés des Ayant-droit. Le résultat est donc complètement opposé au résultat escompter par Orange.

Acte 4 : Le « Contrôle du Téléchargement » chez Orange – L’Enfer c’est les autres

La plateforme de cyber journalisme Owni a tenu à interroger Orange sur les défauts de son logiciels de sécurisation. Ce qui a donné lieu à une interview pour le moins surréaliste.

On y apprend par exemple qu’une version Mac est à venir mais que les utilisateurs de système GNU/Linux peuvent encore attendre longtemps

En ce qui concerne la fuite des adresses IPs, Orange nous affirme, sans rire, qu’en réalité le FAI « a été victime d’une intrusion informatique qui a conduit à la publication des adresses IP« . En ajoutant que « normalement on ne pouvait pas voir les adresses IP », qu’ils n’ont pas a diffuser les adresses de leur clients, « il y a donc forcément eu intrusion » (Une autre explication serait qu’ils ait embauché un branquignol tellement ramolli du bulbe qu’il a même été incapable de changer les login et mot de passe de la console d’administration du serveur, mais c’est vrai qu’il est plus logique d’accuser les méchants Tipiaks anti-Hadopi sans foi ni loi).

Surprise, Orange nous confirme que ce logiciel de sécurisation n’est pas du tout calé sur Hadopi (malgré des traces dans le programme et un appel à l’URL http://update-cdt.nordnet.fr/hadopi-server-technical-ws-1.0.x/HadopiTechn icalServlet) et qu’elle n’a aucun valeur juridique. Nous voilà rassurés, cette solution ne sert vraiment donc à rien. Si on vous la propose, dites NON.

Lorsque l’on demande si un autre logiciel est prévu pour répondre au cahier des charges d’Hadopi, la réponse aussi limpide qu’une réflexion philosophique sous amphétamines :

« Vous travaillez donc sur un autre logiciel pour répondre au futur cahier des charges d’Hadopi ?

Oui, on y travaille. Mais, d’abord, on voulait surtout s’occuper de cela pour nos clients. Il y a beaucoup d’amalgames qui sont faits avec Hadopi. Il n’y a pas de lien direct avec Hadopi. On ne l’a pas fait pour répondre au cahier des charges d’Hadopi.

Un autre logiciel est donc prévu ?

Je ne sais pas si on va en proposer un autre. Celui-là va peut-être rentrer dans le cadre.

Donc pour résumer : ce logiciel a été créé sans lien direct avec Hadopi, Hadopi va sortir un cahier des charges. Et finalement le logiciel correspondre au cahier des charges ?

Oui.« 

Comprenne qui pourra…

Final Acte : Le « Contrôle du Téléchargement » chez Orange – Méga Combo Epic Fail

Une nouvelle faille de sécurité a été découverte dans le logiciel de sécurisation d’Orange (décidément) et non des moindres.

Un hacker du nom de « cult of the dead HADOPI » affirme qu’en exploitant une faille de sécurité, il est possible pour un utilisateur lambda d’avoir accès aux privilèges de niveau systèmes d’un poste de travail sur lequel serait installé le logiciel de sécurisation (peut-on encore l’appeler comme ça ?) d’Orange. De plus, les mise à jour n’étant pas signées, il serait possible de le configurer pour passer par un faux proxie délivrant du code malveillant en guise de mise à jour.

Tant de failles et tant de couac, montre qu’une fois encore, Christine Albanel ne maitrise aucunement ses dossiers et qu’Hadopiv est encore une fois qu’un truc ni fait ni à faire…

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :