Alors qu’HADOPI poursuit sa longue hibernation, le projet SeedFuck, un générateur de vraies fausses IP, continue ses développements exponentiels. Deux de ses dernières étapes démontrent une nouvelle fois la forte capacité d’adaptation des réseaux face à des contraintes juridiques simplement futures pour ne pas dire éventuelles.
Seedfuck encapsulé dans un PDF
On sait depuis longtemps que le format PDF peut abriter des lignes d’instructions en son sein, ce qui suscite des craintes en termes de sécurité comme l’ont montré des recherches. Justement : selon nos sources, une version modifiée du code de Seedfuck en circulation a été encapsulée dans un PDF. Ce n’est pour l’heure qu’un PoC – un proof of concept –, mais comme souvent, il ne faut pas attendre bien longtemps pour passer de la théorie à la pratique.
En pratique, justement, dès l’ouverture du PDF piégé, le « torrent poisoning » débutera ses basses œuvres : l’injection de fausses adresses IP sur un tracker P2P. Sans pousser bien loin l’anticipation, on imagine sans mal les effets d’une telle démarche si elle est généralisée sur plusieurs centaines de machines : d’un côté, le brouillard total sur les petits cadrans de TMG, la société chargée de surveiller les réseaux P2P pour le compte des ayants droit de la musique et du cinéma. D’un autre côté, des réseaux pourris par ces leurres... Tristes ravages de la loi du Talion.
Même si le PoC est à l’état larvaire, il est heureusement déjà bloqué par les solutions de sécurité comme Windows Defender ou Kaspersky Antivirus.
3 ko pour automatiser Seedfuck
Outre ce code encapsulé dans un PDF, d’autres développements grésillent sur le web. Ainsi, un code de 3Ko est également en circulation pour automatiser et généraliser les leurres de SeedFuck. L’une de ces « dégénérescences » peut être installée sur un serveur distant, par exemple à l’étranger. On y définit le nombre d'instances, on choisit le tracker à « empoisonner » et le hash du torrent, et si on le souhaite le nombre d'IP à injecter. Sur ce point, le script peut générer des IP ou être alimenté par une liste d'adresses IP (gérant les masques de sous réseau). Il permettrait de faire tourner 1600 faux peers en 5 minutes. Là encore, on imagine sans trop de mal les importants dégâts de la démarche si des listes d’IP connues, d’entreprises, d’administration, etc. sont ainsi injectées par camions.
Le blog Bluetouff, qui avait tablé sur ces sombres mutations, signale que Seedfuck est récemment « passé en GPL (une version threadée en Python), et plusieurs variantes amusantes se trouvent sur Pastebin ou d’autres pasters. Le plus triste là dedans c’est d’avoir raison : on assiste comme prévu à une course à l’armement, aux frontières de la légalité, de la part des uns et des autres. Tout ça à cause de quelques moines copistes de DVD… »
Seedfuck encapsulé dans un PDF
On sait depuis longtemps que le format PDF peut abriter des lignes d’instructions en son sein, ce qui suscite des craintes en termes de sécurité comme l’ont montré des recherches. Justement : selon nos sources, une version modifiée du code de Seedfuck en circulation a été encapsulée dans un PDF. Ce n’est pour l’heure qu’un PoC – un proof of concept –, mais comme souvent, il ne faut pas attendre bien longtemps pour passer de la théorie à la pratique.
En pratique, justement, dès l’ouverture du PDF piégé, le « torrent poisoning » débutera ses basses œuvres : l’injection de fausses adresses IP sur un tracker P2P. Sans pousser bien loin l’anticipation, on imagine sans mal les effets d’une telle démarche si elle est généralisée sur plusieurs centaines de machines : d’un côté, le brouillard total sur les petits cadrans de TMG, la société chargée de surveiller les réseaux P2P pour le compte des ayants droit de la musique et du cinéma. D’un autre côté, des réseaux pourris par ces leurres... Tristes ravages de la loi du Talion.
Même si le PoC est à l’état larvaire, il est heureusement déjà bloqué par les solutions de sécurité comme Windows Defender ou Kaspersky Antivirus.
3 ko pour automatiser Seedfuck
Outre ce code encapsulé dans un PDF, d’autres développements grésillent sur le web. Ainsi, un code de 3Ko est également en circulation pour automatiser et généraliser les leurres de SeedFuck. L’une de ces « dégénérescences » peut être installée sur un serveur distant, par exemple à l’étranger. On y définit le nombre d'instances, on choisit le tracker à « empoisonner » et le hash du torrent, et si on le souhaite le nombre d'IP à injecter. Sur ce point, le script peut générer des IP ou être alimenté par une liste d'adresses IP (gérant les masques de sous réseau). Il permettrait de faire tourner 1600 faux peers en 5 minutes. Là encore, on imagine sans trop de mal les importants dégâts de la démarche si des listes d’IP connues, d’entreprises, d’administration, etc. sont ainsi injectées par camions.
Le blog Bluetouff, qui avait tablé sur ces sombres mutations, signale que Seedfuck est récemment « passé en GPL (une version threadée en Python), et plusieurs variantes amusantes se trouvent sur Pastebin ou d’autres pasters. Le plus triste là dedans c’est d’avoir raison : on assiste comme prévu à une course à l’armement, aux frontières de la légalité, de la part des uns et des autres. Tout ça à cause de quelques moines copistes de DVD… »
