Full Disclosure : le logiciel anti P2P d’Orange souffrirait d'une grosse faille

Suite... 191
Marc Rees
On pensait que tout avait été dit sur l’histoire du logiciel anti P2P d’Orange, raté : selon un mail reçu dans notre boite et un bulletin d’alerte publié sur la liste Full Disclosure, le Contrôle du Téléchargement souffre d’une faille de sécurité importante. D'après les conclusions de ce billet diffusé sur cette liste très connue en matière de sécurité informatique, le logiciel d'Orange permet de compromettre un ordinateur sur lequel il est installé. Avec lui, un utilisateur sans privilège peut obtenir plus de droits que l'administrateur.

faille hadopi orange full disclosure

The cult of the dead HADOPI, nom évocateur du découvreur de ce trou de sécu, détricote au fil du billet, le fonctionnement du logiciel en question. Selon ce post, la gestion des mots de passe par le Contrôle du Téléchargement est déjà contournable (voir à ce titre cette actualité).

Mais il y a pire : le bulletin affirme qu’un défaut de signature sur les mises à jour permet de transformer les ordinateurs qui l’accueillent en autant de petits maillons d’un réseau de botnet. Pire, soutient encore l’auteur de cette découverte, l’utilisateur sans droit d’un tel poste informatique peut profiter de ce défaut pour mettre en place un proxy sur la machine, bidouille qui lui servira de porte dérobée. Mais ce n'est pas tout : en profitant de ce défaut, il serait même possible de tenter de détourner le process de mise à jour et faire envoyer à tous les abonnés du code malveillant. Des propos à nuancer puisqu'encore faut il prendre le contrôle du serveur appelé par ce client... Mais pour The cult of the dead HADOPI, pas de doute : voilà le bouclier qui se transforme en couteau contre l'abonné, si les propos se vérifient. 

Plusieurs problèmes de sécurité avaient été repérés dans l'écosystème de ce logiciel dès ce week end. « Ce logiciel a encore d’autres secrets à révéler, mais cela sera pour une prochaine fois » conclue The cult of the dead HADOPI, visiblement amateur de teasing.