Gravatar couramment utilisé Blog perso de Paul Da Silva

Orange oh désespoir ! Contrôle du téléchargement 2.0

Posted on | juin 16, 2010 | No Comments

Et quand je dis 2.0 c’est surtout le zéro qu’il faut retenir ! Mais pour mieux comprendre de quoi je parle ici un bref retour sur les évènements de ces derniers jours s’impose !

Vendredi dernier, Orange, FAI historique que je ne vous présente pas (si si, il y a Internet et Internet…), prenait les devants sur l’Hadopi pour sortir un superbe logiciel dit de « contrôle du téléchargement ».

Pour quoi est prévu le soft ?

A l’origine, le logiciel est censé interdire tout échange sur les réseaux P2P en contrôlant les logiciels qui ont le droit de s’exécuter sur la machine sur laquelle il est installé. Au lancement d’un logiciel, une signature unique est comparée à une base de logiciels interdits. Si le logiciel est un vilain client P2P blacklisté par Hadopi Orange, il ne se lancera tout bêtement pas.

Jusque là tout va bien (enfin il est grave d’assimiler les échanges P2P aux échanges illégaux, mais dans la logique Orange pourquoi pas).

Le logiciel conserve bien sûr un journal permettant de dire à quel moment il est lancé afin que l’on puisse attester de son innocence en cas de relevé de son adresse IP sur les réseaux P2P à une date précise.

Je soulevais déjà à la sortie du logiciel quelques réserves (euphémisme inside) quand à l’utilité du truc…

Pour quoi n’est-il pas prévu ?

Mais très vite les choses se gâtent avec les investigations de Bluetouff (qui signe un retour en beauté) et fo0_ (qui n’est jamais vraiment parti) qui vont mettre à jour un certain nombre de failles dans le logiciel Orange…

D’abord, même lorsque le logiciel est arrêté ou tué il reste accroché à l’explorer et continue d’écrire dans le fichier de log. A vrai dire c’est le type de comportements que l’on trouve chez certains virus / trojans… Et je sais pas vous, mais quand je ferme un soft, en général il y a une raison à ça : je veux le voir fermé !

Ensuite, et malgré les déclarations d’Orange niant tout rapport entre son logiciel et la Haute Autorité, il est retrouvé dans les décompilations du logiciel des mentions de l’Hadopi… Ainsi qu’un chemin absolu vers le répertoire de dev d’un certain jbroutin (si tu me lis, bonjour et bravo ;)).

Mais surtout : le logiciel communique de façon régulière avec un servlet accessible sur internet (195.146.235.67 si ma mémoire est bonne – flemme de vérifier !). Et, non content de faire passer ces échanges en clair, le serveur lui aussi est accessible à tous.

Et, toujours plus grave, une page (exportable notamment en XML) permet de voir les adresses IP qui se connectent au serveur – soit via le logiciel, soit directement en HTTP… Ladite page est restée en ligne de sa découverte au lendemain dans la journée… Ce qui a permis à quelques méchants pirates de récupérer une liste d’adresses IP qui seront probablement les premières injectées dans SeedFuck pour être relevées par TMG… Ironie !

Comme si cela ne suffisait pas, il s’avère que l’accès à la web-console Jboss (la technologie utilisée sur le serveur) est toujours « protégée » par le couple login / mot de passe par défaut – à savoir : admin / admin… L’accès à cette console permet d’administrer le serveur et donc, notamment, la portion de code que le logiciel vient chercher en se connectant. Il était donc possible d’y injecter un malware qui aurait contaminé tous les clients Orange se croyant protégés par ce soft !

Mais les découvertes les plus étonnantes nous viennent d’un dénommé « cult of the dead hadopi » (dont le pseudo me rend la personne très sympathique) qui va découvrir pèle-mêle et sans tout citer que le logiciel est composé de deux parties, une exécutée par l’utilisateur courant, l’autre par l’administrateur et que la communication entre ces deux parties n’est pas sécurisée – ce qui permettrait à un logiciel tiers de passer les ordres de son choix à une partie du logiciel considérée comme systeme et qui a, par conséquent, tous les droits sur l’ordinateur.

De même, aucune des portions de code transmises depuis le serveur vers le client n’est signée de quelque façon que ce soit – autorisant n’importe qui à y injecter le code de son choix, qui sera par la suite exécuté par le logiciel Orange et par le système comme du code légitime. Plutôt critique quand on repense à l’épisode « admin/admin »…

Plus récemment notre (très) cher « cult of the dead hadopi » a découvert que si le mot de passe nécessaire à l’accès au logiciel était bien stocké de façon hashé, la question secrète et sa réponse étaient en fait cryptées selon un algorithme qu’il s’est proposé de renverser… Avec succès.

Et du coup ?

Devant un tel tollé, aussi bien technique que médiatique (la presse du monde entier s’est fait l’écho de la mésaventure), Orange vient de supprimer la souscription à son option en remplaçant le bouton « commander » par un texte qui nous donnera à tous un petit sourire : « suspension de la commercialisation de l’option »…

Ce qu’il faut retenir de tout cela est avant tout qu’en ajoutant ce type d’intermédiaire, on n’est pas à l’abri d’ajouter des failles de sécurité dont personne n’a besoin – alors quand en plus le logiciel est codé avec les pieds en VB et en 20mn ça n’aide pas…

Mais surtout, que si l’état, pour des raisons illégitimes, essaye de priver les citoyens de leur liberté en leur imposant des « solutions » techniques défaillantes, il y aura toujours 5 gus dans un garage pour essayer de le contrecarrer, et il vaudrait mieux assurer sur le côté sécurité, parce que les gus en question aiment pas trop l’idée de payer pour installer des rootkits !

Commentaires

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo
1GZnMQ9wXyifxCnDEqg8CSGdngWcKWptHv

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Best Bitcoin debit card

Zcash Mining