Il y a logiciel de sécurisation... et logiciel de sécurisation par Orange. Sur la publicité fictive qui porterait ce slogan, on aurait un sympathique Monsieur Patate sur la page de gauche : le fameux logiciel tel qu'on l'imaginait avant qu'Hadopi soit votée. En face, un vieux légume pourri, amputé et rongé par les asticots : le programme vendu par l'opérateur depuis ce week-end et déjà miné par de monstrueuses failles de sécurité.
À l'heure où les députés de l'opposition soumettaient leurs amendements pour la loi Hadopi, le projet de mise en place d'un «logiciel de sécurisation» semblait simple et juste. On annonçait que ce petit programme, protégeant les réseaux domestiques des échanges illégaux en peer-to-peer et des intrusions de voisins mal intentionnés, serait développé par les fournisseurs d'accès à Internet eux-mêmes selon les spécifications fournies par la Haute Autorité. On souhaitait sur les sièges communistes qu'il soit gratuit, puisqu'obligatoire pour contester l'accusation de «négligence caractérisée», et interopérable, pour que tous les systèmes d'exploitation puissent en profiter. Mais aucune de ces propositions n'a été adoptée quand la loi fut votée, et la semaine dernière, on apprenait que la labellisation des logiciels par l'Hadopi elle-même était «enterrée» . À la corbeille, le cahier des charges et la garantie d' «efficacité» ! Le concept de la sécurisation de réseau est désormais livré sans contraintes et sans conditions aux mains des FAI, dont on peut attendre à peu près tout et n'importe quoi. Ce qui est arrivé ce week-end chez Orange relève clairement de cette dernière catégorie.
Le nouveau logiciel est apparu vendredi matin dans la boutique de téléchargements réservée aux abonnés Orange, entre le contrôle parental et l'«assurance achats en ligne». L'outil flambant neuf de « Contrôle du téléchargement » promet de «sécuriser et contrôler vos ordinateurs connectés à Internet contre des usages de téléchargement illégaux en peer-to-peer» -- mais seulement sur Windows, et contre un abonnement mensuel à 2 euros. Une lecture plus attentive nous apprend qu'en guise de contrôle et sécurisation, le programme se contente de «bloquer immédiatement et dès leur exécution» les logiciels les plus répandus, type eMule ou Bittorrent, dans un formidable amalgame entre peer-to-peer et illégalité. Et les services de streaming, qui permettent de regarder une vidéo en ligne sans la télécharger ? Pas concernés. Les sites de téléchargement direct, comme Rapidshare ou Megaupload ? Ignorés. Le cryptage du réseau pour interdire les intrusions extérieurs ? Ce n'est pas le propos. Le propos, selon le blogueur Bluetouff , c'est d' «exploiter la peur» générée par Hadopi pour soutirer 2 euros par mois aux abonnés naïfs et novices en informatique.
Mais l'histoire serait presque anecdotique si elle ne fleurait que l'arnaque financière. Bluetouff, qui a installé le logiciel sur son ordinateur pour l'étudier côté technique, a mis à jour d'inquiétantes failles -- non, crevasses -- non, gouffres ! -- de sécurité compromettant à la fois le bon fonctionnement du service et la vie privée de ses utilisateurs, sans même parler de la réputation d'Orange... Une analyse des données «sortant» du logiciel de sécurisation a révélé que celui-ci communique de manière non cryptée avec un serveur de Nordnet (éditeur du logiciel). Il suffisait d'un simple navigateur Internet pour y faire une petite visite et constater, avec effarement, que «tout transite en clair, et tout est PUBLIC… on a même les IP des clients qui ont activé et acheté ce soft» ainsi que celles des curieux de passage sur la page. Bien entendu, lesdites adresses ont vite été copiées puis envoyées en orbite sur la toile, où des petits malins les ont récupérées puis en ont saupoudré les réseaux p2p grâce à SeedFuck . Ou comment les internautes inquiets, pensant se prémunir contre Hadopi, se sont retrouvés en quelques heures dans la liste noire des pirates surveillés par Trident Media Guard. Bluetouff ricane : «C'est pas ça, une négligence caractérisée ?»
Les adresses IP des internautes ayant souscrit l'abonnement au «Contrôle du téléchargement», sur le serveur distant de Nordnet
Pire encore : les informaticiens de Nordnet, qu'on n'imagine pourtant ni incompétents ni inexpérimentés, n'ont pas changé les identifiants par défaut dans l'interface d'administration de leur service. Login : «admin» / Mot de passe : «admin», et n'importe quel internaute pouvait entrer dans le «Contrôle du téléchargement» par la porte de derrière. Cette bourde, du plus pathétique effet, a largement circulé sur Twitter avant d'être corrigée lundi -- soit plus de vingt-quatre heures après l'alerte lancée par Bluetouff.
Si les failles techniques sont déjà ou seront sans doute rapidement corrigées, le doute plane toujours sur le rôle exact du logiciel d'Orange. On sait que les communications entre l'ordinateur de l'abonné et le serveur distant permettent de mettre à jour la liste des logiciels p2p à bloquer. Mais Orange ne donne aucune indication, en revanche, sur le traitement et l'usage des données collectées chez l'internaute. Dans ses conditions générales d'utilisation , l'opérateur semble prendre ses distance avec l'Hadopi en se déchargeant de toute responsabilité si l'abonné venait à être suspecté de téléchargement illégal. Pourtant, certains dossiers créés par le logiciel à son installation ont un nom éloquent qui laisse deviner un lien avec la Haute Autorité :« ddp-Hadopi», «Hadopi-Client-Gui»... Le serveur précédemment cité s'appelle lui-même «HadopiTechnicalServlet». Ces codes pourraient être un simple raccourci d'usage pour les informaticiens responsables de ce logiciel, qui ne prévoyaient pas que les entrailles de leur programme soient dévoilées au public de cette manière. Mais certains blogueurs remontés n'en demandent pas plus pour tirer leurs conclusions alarmistes : «Orange et Hadopi ne font qu'un» .
Sur le même sujet :
- Hadopi : le logiciel de sécurisation à la corbeille (9/6/2010)
- Hadopi : Le logiciel de sécurisation toujours dans le flou (24/7/2009)