Le verrou Orange-Hadopi accusé de négligence caractérisée

#Failware 267
Marc Rees
Le tout récent logiciel de sécurisation d’Orange a à peine commencé sa courte vie que déjà de nouveaux couacs, bugs et autres brèches viennent lester son pénible décollage. Le Contrôle de Téléchargement (CDT), nom donné par Orange à ce verrou, a été mis en ligne le même jour où la CNIL rendait sa décision sur TMG (surveillance des IP sur les réseaux P2P).

Ce CDT est censé aider les abonnés du FAI à sécuriser leur connexion contre le téléchargement illicite. La solution revient à confier une opération du cerveau à un boucher charcutier : elle se contente de bloquer l’utilisation d’une série de logiciels P2P via une liste noire d’applications. Une petite absurdité : d’un, les applications qui ne sont pas listées restent utilisables, de deux, il est toujours possible d’échanger des contenus sur le web, de trois, scoop ! on trouve des contenus licites sur les réseaux P2P, et de quatre, ce service est facturé 2 euros par mois. On paye donc plus pour avoir moins d’Internet comme le rapportait TheInternets sur Twitter.

Nous indiquions vendredi une autre petite étrangeté : les conditions générales d’utilisation tout comme le message commercial d’Orange n’indiquent pas que ce logiciel est Hadopi-compatible. Au contraire : Orange comme Nordnet, l’éditeur du logiciel, ont pris le soin tout particulier d’éviter toute responsabilité au cas où Hadopi viendrait à déconnecter un abonné qui aurait installé et utilisé le verrou logiciel.

Toutefois, en coulisse, nous indiquions que les références à Hadopi sont bien visibles dans les sources du Contrôle de Téléchargement. 

orange sécurisation controle téléchargement hadopi

Mieux : un lecteur nous pointait dès vendredi la présence d’une drôle d’URL chez Nordnet, appelée par le logiciel en question : http://update-cdt.nordnet.fr/hadopi-server-technical-ws-1.0.x/HadopiTechnicalServlet

Bluetouff (de retour) a poussé les investigations ce dimanche en montrant que « le logiciel communique avec un serveur distant, un servlet java en fait situé sur l’ip 195.146.235.67 »

Et là, les choses se corsent pour cette solution qui veut aider la France-qui-a-peur à se sécuriser : « tout transite en clair, et tout est PUBLIC… on a même les IP des clients qui ont activé et acheté ce soft, comme les ip des simples visiteurs de cette page qui va devenir culte ». Bluetouff poursuit : « Pour obtenir l’ip de ce serveur, nous avons « sniffé » les sorties de ce soft avec Wireshark sur notre propre réseau local, du coup, nous n’avons pas eu trop de mal à trouver ce servlet… très drôle non ? C’est pas ça une négligence caractérisée ? »

Du coup, les réactions s’enchaînent : une page synthétise les découvertes, on trouve par ailleurs une liste d’IP qui seraient celles de ceux qui se sont connectés au serveur Orange ou celles des premiers abonnés (les versions diffèrent).

IP pastbin controle téléchargement

Du côté de shocknsl.com/, autres découvertes en image...

hadopi controle téléchargement orange

Chez Theinternets.fr Bluetouff pointe « un oubli débile : ils ont laissé les mots de passe par défaut sur l’admin : admin/admin ». Du coup, des personnes mal intentionnées peuvent se voir offrir un joli pont en or : « ils peuvent modifier le JAR, qui injecte du code aux logiciels client ». Et , craint TheInternets,  « inoculer n’importe quel malware. Et ainsi infecter tous les postes des abonnés qui ont souscrit au logiciel anti-p2p d’Orange».