Gravatar couramment utilisé Blog perso de Paul Da Silva

Hadopi, à nouveau vulnérable au XSS

Posted on | mars 30, 2011 | 17 Comments

Hier l’offre légale a enfin trouvé sa place sur le site de la Hadopi. Au delà du fait qu’elle ne respecte pas la loi (ou son esprit) en présentant un moteur de recherche en lieu et place d’une liste d’oeuvres sur lesquelles porte la labellisation, c’était pour moi l’occasion de voir si ils avaient retenu la leçon de la précédente faille trouvée dans le formulaire de recherche…

Rappelons que la Hadopi demande à chaque personne de sécuriser son accès à Internet, ce qui, si c’était possible, révèlerai de qualifications d’un ingénieur en sécurité réseau. Le fait est qu’il restera toujours des points du réseau hors du contrôle de l’utilisateur et que son adresse IP pourra toujours être usurpée, même si son réseau est lui sécurisé de l’ordinateur aux sites qu’il visite.

Autant dire qu’elle repose sur du vent et que personne n’arrive à leur faire entendre cela depuis des mois / années que tous essayent…

Nous nous étions alors posé la question avec Bluetouff et RootBSD de savoir si le gouvernement, avec ses moyens, s’appliquait lui même la rigueur qu’il exige de monsieur et madame tout le monde. Réponse courte : pas du tout !

J’ai ensuite voulu vérifier si la Hadopi le faisait. Réponse courte : non plus !

Puis ce fut le tour de TMG, nouveaux gendarmes privés du Net. Réponse courte : toujours pas !

Mais là où on pourrait croire que la Hadopi aurait tiré les leçons de la première démonstration, j’ai pu trouver hier, en 6mn30, une nouvelle faille sur le site de l’autorité… Selon la loi il s’agit donc du second avertissement… Au prochain il faudra songer à couper la connexion chez Hadopi ?

Je vais bien sûr contacter Eric Walter (en heures de bureau) pour lui signaler la faille et lui expliquer comment la corriger avant qu’un « voyou d’internet » (copyright Pr Riguidel) ne s’en serve… D’ici là, amusez vous avec ce petit détournement publié sur Twitter 🙂

MAJ : Après avoir contacté Eric Walter, il semblerai que la faille ait été corrigée. Il n’en reste pas moins qu’elle constitue le deuxième manquement au devoir de sécurisation… A la prochaine 😉

Commentaires

17 Responses to “Hadopi, à nouveau vulnérable au XSS”

  1. Sventovit
    mars 30th, 2011 @ 9 h 25 min

    Depuis, j’ai entendu dire qu’ils envisageraient de n’ouvrir le site que pendant les heures administratives pour être en mesure de réagir…

  2. Arakiel
    mars 30th, 2011 @ 11 h 27 min

    « Depuis, j’ai entendu dire qu’ils envisageraient de n’ouvrir le site que pendant les heures administratives pour être en mesure de réagir… »

    Entre 14h et 15h alors? 😀

  3. Arakiel
    mars 30th, 2011 @ 11 h 31 min

    Toi tu vas avoir des problèmes !!! ;-D

  4. Lecteur
    mars 30th, 2011 @ 11 h 47 min

    Moi je dis juste que heureusement que des personnes comme vous existe !!!

    merci

  5. zangoo
    mars 30th, 2011 @ 16 h 19 min

    Le deuxième avertissement et aussi envoyé par lettre recommandé, non ?
    Chiche ?

  6. Søren
    mars 30th, 2011 @ 23 h 08 min

    A votre place, j’aurais envoyé la faille sur le chan IRC des Anon’, histoire de rigoler un peu.

  7. loïc m.
    mars 31st, 2011 @ 10 h 11 min

    @Søren : pour sensibiliser, croyez vous à ces méthodes ?

  8. Exploit Turns Anti-Piracy Agency Site Into The Pirate Bay | TorrentFreak
    avril 1st, 2011 @ 20 h 07 min

    […] took the Pirate Party President just 10 minutes to find an XSS vulnerability that replaced the Hadopi search engine with that of The Pirate Bay. As can be […]

  9. P2PTalk » Exploit Turns Anti-Piracy Agency Site Into The Pirate Bay
    avril 2nd, 2011 @ 2 h 08 min

    […] took the Pirate Party President just 10 minutes to find an XSS vulnerability that replaced the Hadopi search engine with that of The Pirate Bay. As can be […]

  10. Stanislas
    avril 2nd, 2011 @ 11 h 17 min

    La page d’infos légales dit que leur site est construit sur drupal. C’est la faute à un plugin de drupal ? plugin maison ou de la communauté ? Est ce que votre exploit vous donne des infos sur cela ?

  11. Un exploit del Partido Pirata francés convierte la web de Hadopi en The Pirate Bay — Bitelia
    avril 2nd, 2011 @ 16 h 43 min

    […] semana. Un motor en la home que dio pie a esta “broma” de Da Silva, consiguiendo el exploit en tan sólo diez minutos, el tiempo que tardó en encontrar una vulnerabilidad XSS que sustituía […]

  12. Bitelia | Linkeando
    avril 2nd, 2011 @ 22 h 58 min

    […] de esta semana. Un motor en la home que dio pie a esta “broma” de Da Silva, consiguiendo el exploit en tan sólo diez minutos, el tiempo que tardó en encontrar una vulnerabilidad XSS que sustituía […]

  13. Exploit Turns Anti-Piracy Agency Site Into The Pirate Bay
    avril 3rd, 2011 @ 1 h 57 min

    […] took the Pirate Party President just 10 minutes to find an XSS vulnerability that replaced the Hadopi search engine with that of The Pirate Bay. As can be […]

  14. Follia Digitale » Hadopi trasformato in The Pirate Bay grazie a una falla di sicurezza
    avril 3rd, 2011 @ 16 h 40 min

    […] La modifica è stata rimossa, tuttavia sono bastati dieci minuti a Paul Da Silva per violare il server istituzionale di […]

  15. Un exploit del Partido Pirata francés convierte la web de Hadopi en The Pirate Bay | SOLO INFORMATICA, POR MANUEL MURILLO GARCIA
    avril 4th, 2011 @ 6 h 05 min

    […] de esta semana. Un motor en la home que dio pie a esta “broma” de Da Silva, consiguiendo el exploit en tan sólo diez minutos, el tiempo que tardó en encontrar una vulnerabilidad XSS que sustituía […]

  16. Un exploit del Partido Pirata francés convierte la web de Hadopi en The Pirate Bay | Dynamyza.com
    avril 4th, 2011 @ 7 h 45 min

    […] semana. Un motor en la home que dio pie a esta “broma” de Da Silva, consiguiendo el exploit en tan sólo diez minutos, el tiempo que tardó en encontrar una vulnerabilidad XSS que sustituía […]

  17. Cuando las regulaciones de los derechos de autor se vuelven en contra de quienes las aprueban — ALT1040
    avril 6th, 2011 @ 17 h 05 min

    […] […]

Leave a Reply





Edito

Ancien journaliste, ancien entrepreneur, ancien (ir)responsable Pirate, actuel citoyen qui s'intéresse à la politique et à son évolution.

Read moar !.

Retrouvez moi sur :

Suivez moi sur twitter sur facebook sur wikipedia Ajouter ce blog a votre lecteur RSS

Bitcoin

bitcoin logo Paul da Silva Bitcoin
1AyR34kffA5tMGBKgHDsmhSQUFVvMmx38C

Piratons la démocratie

piratons la democratie

One more thing !

0100 0011 0110 1000 0110 0001 0110 1110 0110 0111 0110 0101 0111 0010 0010 0000 0110 1100 0110 0101 0010 0000 0110 1101 0110 1111 0110 1110 0110 0100 0110 0101 0010 0000 0110 0101 0110 1110 0010 0000 0111 0011 0010 0111 0110 0001 0110 1101 0111 0101 0111 0011 0110 0001 0110 1110 0111 0100 0010 0000 0010 1101 0010 0000 0110 1111 0110 1110 0010 0000 0111 0110 0110 0001 0010 0000 0110 0010 0110 1111 0110 1001 0111 0010 0110 0101 0010 0000 0111 0101 0110 1110 0010 0000 0110 0011 0110 1111 0111 0101 0111 0000 0010 0000 0011 1111

Tm9uIGNlbGVsIGzgIGVzdCBqdXN0ZSBwb3VyIHRlIGZhaXJlIHBlcmRyZSA1bW4gOyk=

Relationship Closeness Inventory

Promo code Genesis Mining

Sha 256 cloud mining

Gift wrapping

Gift bag

Casablancas Film