Exclu : une faille révèle le projet de décret sur les verrous Hadopi

Lol 186
Marc Rees
Voilà qui va générer un nouveau couac dans les rouages d’Hadopi : nous indiquions ce matin que la France avait notifié à Bruxelles un projet de décret sur les moyens de sécurisation prévenant les usages illicites.

Fait plutôt rare, la France a exigé la confidentialité de ce texte notifié à la Commission et aux autres États membres. Sauf que...

projet décret sécurisation hadopi 


Il est en réalité très simple de contourner cette confidentialité. Comment ? Il suffit de retrouver l’URL d’une précédente notification publique cette fois, et d'y remplacer son identifiant avec celui, connu, de la notification secrète (158763) .

http://ec.europa.eu/enterprise/tris/pisa/app/search/index.cfm?fuseaction=getdraft&inum=1587363

Un autre moyen bête et simpliste consiste à se servir de liens vers des .Doc d'autres décrets affichés en clair. Par exemple 

http://ec.europa.eu/enterprise/tris/pisa/cfcontent.cfm?vFile=120100548FR.DOC

...toute récente URL d'un .DOC qui n'est pas confidentiel.

Il suffit alors de remplacer 548 par 549 (numéro du décret secret). Dans un cas comme dans l'autre, on obtient alors le document en clair que la France ne veut pas publier (nous venons de l'étudier).

« Si ce n'est pas une négligence caractérisée, ça... » nous commente un lecteur qui nous a signalé l'astuce. On constate en effet que  ce document est accessible par quiconque dispose d'un simple navigateur et n'est donc absolument pas sécurisé. Un comble pour un texte voulant imposer la sécurisation à outrance.

Tout le monde peut désormais lire le texte de la notification, disponible sur cette page ou sur ce lien directement, hébergé sur nos serveurs cette fois, ou sur Scribd: