Le logiciel anti P2P d’Orange avait connu un faux départ presque somptueux. Censé sécuriser l’abonné contre le risque de sanction Hadopi, il se retrouvait rapidement au premier plan de la fameuse liste Full Disclosure dédiée dans la sécurité : risque de compromission du PC hôte, contournement du gestionnaire de mot de passe, risque de constitution de botnet, porte dérobée offrant en théorie la possibilité d’injecter du code malveillant à tous les abonnés, etc.
Ce week-end, l’auteur de cette première découverte, est revenu à la charge en se penchant cette fois sur le cas de TMG (traduction française de ce post). Un rappel : l’un des serveurs de cette entreprise chargée de flasher les IP pour le compte des ayants droit, et en amont de l’Hadopi, a été pointé du doigt voilà une semaine pour défaut de sécurisation d'un de ses serveurs. TMG s’était défendu en soulignant qu’il ne s’agissait que d’un serveur de test. La SCPP (Universal, Sony, etc.), pour qui travaille TMG, ajoutant par ailleurs que ledit serveur n’était pas protégé. S’en suivait une plainte pour intrusion frauduleuse, plainte finalement retirée par TMG. C’est qu’il est difficile de démontrer une fraude d’accès lorsqu’un serveur n’est pas verrouillé.
En attendant, The cult of the dead HADOPI a profité de l’occasion pour décompiler (loin des rigueurs françaises) un des exécutables disponibles sur ce serveur trop ouvert. Des fichiers désormais inaccessibles...mais qui sont récupérables en quelques clics via Pastebin. Bluetouff, qui avait signalé en premier la faille chez TMG découverte par des bidouilleurs (non nommés), résume en quelques traits ce post : « C’est plutôt technique, et malheureusement, [...] on est très proche des risques que nous avions exposés à la Commission de Protection des Droits de l’HADOPI. L’analyse du code est sans appel, il est possible d’injecter des commandes à distance sur les machines de TMG ou d’empoisonner des mises à jour. Le risque de compromission que nous avions pressenti est maintenant exposé, et exploité, sous forme d’un script Python nommé Too_Many_Greemlins_exposed_to_the_sunlight.py ».
La question est évidemment de savoir si ces executables se retrouvent dans les serveurs de production, ce que personne ne peut affirmer, pas même la Hadopi.
Au passage, The cult of the dead HADOPI égrene des indices sur ses découvertes, une gestion exotique des mots de passe ou encore une curieuse liste de noms, tout cela trouvé lors d’une visite dans l’intimité du grand surveillant. Dans server_interface.exe, par exemple, « vous pouvez trouver une liste d’on ne sait trop quoi pour l’instant. Vous pouvez facilement la retrouver partout sur le net. Il suffit de chercher KingElvis, Jay@yahoo.se et melon_foli. »
The cult of the dead HADOPI regrette par ailleurs que les pouvoirs actuels de la CNIL soient limités. Voilà plusieurs mois, alors qu’Éric Walter invitait la CNIL à contrôler TMG, la Commission nous avait répondu que son contrôle porte en effet davantage sur « le traitement de l’information plus que la manière dont il est réalisé ». En clair : plus sur « le fichier qui en résulte plus que sur les moyens ».
Ce week-end, l’auteur de cette première découverte, est revenu à la charge en se penchant cette fois sur le cas de TMG (traduction française de ce post). Un rappel : l’un des serveurs de cette entreprise chargée de flasher les IP pour le compte des ayants droit, et en amont de l’Hadopi, a été pointé du doigt voilà une semaine pour défaut de sécurisation d'un de ses serveurs. TMG s’était défendu en soulignant qu’il ne s’agissait que d’un serveur de test. La SCPP (Universal, Sony, etc.), pour qui travaille TMG, ajoutant par ailleurs que ledit serveur n’était pas protégé. S’en suivait une plainte pour intrusion frauduleuse, plainte finalement retirée par TMG. C’est qu’il est difficile de démontrer une fraude d’accès lorsqu’un serveur n’est pas verrouillé.
En attendant, The cult of the dead HADOPI a profité de l’occasion pour décompiler (loin des rigueurs françaises) un des exécutables disponibles sur ce serveur trop ouvert. Des fichiers désormais inaccessibles...mais qui sont récupérables en quelques clics via Pastebin. Bluetouff, qui avait signalé en premier la faille chez TMG découverte par des bidouilleurs (non nommés), résume en quelques traits ce post : « C’est plutôt technique, et malheureusement, [...] on est très proche des risques que nous avions exposés à la Commission de Protection des Droits de l’HADOPI. L’analyse du code est sans appel, il est possible d’injecter des commandes à distance sur les machines de TMG ou d’empoisonner des mises à jour. Le risque de compromission que nous avions pressenti est maintenant exposé, et exploité, sous forme d’un script Python nommé Too_Many_Greemlins_exposed_to_the_sunlight.py ».
La question est évidemment de savoir si ces executables se retrouvent dans les serveurs de production, ce que personne ne peut affirmer, pas même la Hadopi.
Au passage, The cult of the dead HADOPI égrene des indices sur ses découvertes, une gestion exotique des mots de passe ou encore une curieuse liste de noms, tout cela trouvé lors d’une visite dans l’intimité du grand surveillant. Dans server_interface.exe, par exemple, « vous pouvez trouver une liste d’on ne sait trop quoi pour l’instant. Vous pouvez facilement la retrouver partout sur le net. Il suffit de chercher KingElvis, Jay@yahoo.se et melon_foli. »
The cult of the dead HADOPI regrette par ailleurs que les pouvoirs actuels de la CNIL soient limités. Voilà plusieurs mois, alors qu’Éric Walter invitait la CNIL à contrôler TMG, la Commission nous avait répondu que son contrôle porte en effet davantage sur « le traitement de l’information plus que la manière dont il est réalisé ». En clair : plus sur « le fichier qui en résulte plus que sur les moyens ».
![[MàJ] Glaze : la solution pour contrer MidJourney et autres IA imitatrices de style d'images est disponible](https://cdnx.nextinpact.com/compress/100-75/data-next/images/bd/square-linked-media/12547.jpg)
