Orange, de peer en peer...

par Camille Gévaudan

tags : p2p , sécurité , Hadopi , Orange , hacking , logiciel de sécurisation

DR

Panique chez Orange : des hackers ont piraté notre antivirus ! Quoi, ce n’est pas un antivirus ? Euh, on voulait dire notre logiciel de sécurisation ! Enfin, non, il ne sécurise rien du tout, au contraire... Ah, voilà, le « contrôle du téléchargement » ! Euh, en fait, il ne va pas jusqu’à contrôler les transferts peer-to-peer pour identifier ceux qui sont illégaux : il se contente de bloquer eMule, Bittorrent et confrères. Bon, on la refait : ALERTE, on a piraté notre verrou anti-p2p !

Quel que soit le petit nom qu’on lui donne, à ce logiciel, une chose est sûre : les responsables d’Orange ne sont pas du tout reconnaissants aux blogueurs qui ont mis à jour ses failles de sécurité. Ils les accusent même d’un délit punissable de 2 ans d’emprisonnement et 30 000 euros d’amende selon l’article 323-1 du code pénal : l’accession frauduleuse à un système de traitement automatisé de données.

« Orange, interrogé par Numerama, tient à insister sur le fait que la divulgation des adresses IP “ne résulte pas d’une diffusion de la part d’Orange, mais bien d’une intrusion informatique”. »

Rappelons qu’en guise d’« intrusion », Bluetouff a simplement communiqué l’adresse URL d’un serveur où une liste de données personnelles était accessible à tous, sans protection. N’importe quel internaute pouvait y accéder en tapant « 195.146.235.67/status » dans la barre d’adresse de son navigateur. Quant à l’interface d’administration du service, nul besoin d’être un grand espion informatique pour s’y introduire : elle était accessible avec l’identifiant et le mot de passe « admin ».

Comme le fait remarquer PC INpact, la porte-parole d’Orange est donc mal inspirée de crier à l’intrusion quand sa propre société ne respecte pas ses obligations définies par la loi « Informatique et Libertés » de 1978... On y lit, à l’article 34, que « le responsable du traitement est tenu de prendre toutes précautions utiles (...) pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Ou comment demander aimablement à l’opérateur de balayer devant sa porte.

Outre un changement de mot de passe et un cryptage du serveur pour protéger son service et ses abonnés, Orange a réagi en restreignant l’accès à son logiciel anti-p2p. Il faut désormais souscrire l’abonnement à 2 euros avant de pouvoir le télécharger (et non après, comme c’était le cas ce week-end).

Mais il est un peu tard pour éloigner les fouineurs : tous les hackers curieux se sont déjà procuré le fameux programme, et l’un d’entre eux vient même de dévoiler une énième faille de sécurité... Il « affirme code source à l’appui, selon Numerama, « qu’il est possible de compromettre la sécurité d’un ordinateur sur lequel le logiciel est installé », y exécuter « n’importe quel code avec les privilèges système » et infecter via le serveur de Nordnet « l’ensemble des clients utilisateurs du logiciel d’Orange ». Rien que ça ? Bien sûr que non ! « Il prévient par ailleurs qu’il n’a pas encore tout dit sur ses découvertes. »

Le failware d’Orange, comme le surnomment affectueusement les moqueurs, ne semble qu’au début de ses fantastiques aventures.

Sur le même sujet :

Hadopi : Orange sécurise sa propre négligence

Il y a 14 réactions à cet article.

Lire les réactions.
Réagir à cet article.

Partager cet article

Partager Tweet