Hadopi : la solution anti P2P d'Orange laisse filtrer les IP de ses clients !

Les premiers clients apprécieront : le logiciel de sécurisation commercialisé par Orange depuis la semaine dernière laisserait apparaitre, par l'intermédiaire d'un serveur Web en accès libre, l'adresse IP de ses utilisateurs. La découverte est à mettre au crédit de Bluetouff, qui indique avoir capturé les paquets envoyés par le logiciel vers Internet, sans la moindre difficulté, puisque ceux-ci transitent en clair.

Il s'avère que ce dernier communique avec une adresse IP référencée dans le parc de Nordnet, filiale de France Télécom spécialisée dans les solutions de sécurité de type contrôle parental, qui opère pour le compte de l'opérateur ce logiciel de sécurisation, censé garantir pour 2 euros par mois qu'aucun accès aux réseaux P2P ne sera effectué depuis les machines du domicile de l'utilisateur.

L'information s'étant rapidement propagée dimanche après-midi, il n'a pas fallu longtemps pour que de facétieux internautes listent les adresses des supposés souscripteurs de l'option Contrôle du téléchargement d'Orange et envisagent de les injecter dans des solutions de type IPFuck, qui permettent de faire apparaitre les adresses IP de son choix sur les réseaux P2P. Du fait d'un logiciel de sécurisation mal sécurisé, les adresses IP censément incapables de se connecter à BitTorrent et consorts sont donc susceptibles d'être détectées par les prestataires chargés de faire la chasse au téléchargement illégal, qui viennent justement d'obtenir le feu vert de la Cnil pour débuter leurs activités ! « En clair, vous payez pour vous amputer d'une parcelle d'Internet avec un software susceptible de mettre votre propre sécurité en danger », résume Bluetooff.


En se connectant au serveur en question, on arrive sur une page « statut » qui liste d'une part les IP ayant cherché à afficher la page et de l'autre, les IP des utilisateurs du logiciel. Cerise sur le gâteau : après que le service a semblé hors ligne dimanche soir, du fait sans doute d'un trop grand nombre de connexions, il est toujours possible lundi matin d'accéder à la console Web du serveur sous-tendant le service, celle-ci étant protégée par le couple login / mot de passe par défaut. De quoi entrainer de plus graves conséquences, si une personne mal intentionnée profitait par exemple de cet accès pour injecter du code au sein du client logiciel installé chez les particuliers. La bourde parait tellement énorme que certains se demandent s'il ne s'agit pas simplement d'un honeypot.

D'autres se sont rapidement engouffrés dans la brèche ainsi ouvertes et ont pu mettre au jour le lien qui semble unir le logiciel d'Orange à l'Hadopi. Dans la console Web du serveur Nordnet comme dans l'exécutable fourni à ses clients par l'opérateur est ainsi fait mention, à plusieurs reprises, d'un « HadopiTechnicalServlet » au nom évocateur (voir captures ici et là). Des mentions d'autant plus incongrues que les conditions d'utilisation du service proposé par Orange / Nordnet indiquent clairement que l'installation du logiciel ne garantit pas l'absolution en cas d'identification de l'adresse IP de l'abonné sur les réseaux P2P. Qu'est-il dont fait des informations envoyées par le client au serveur ?