Hadopi : la solution anti P2P d'Orange laisse filtrer les IP de ses clients !

Par
le 14 juin 2010 à 08:47
 0
Les premiers clients apprécieront : le logiciel de sécurisation commercialisé par Orange depuis la semaine dernière laisserait apparaitre, par l'intermédiaire d'un serveur Web en accès libre, l'adresse IP de ses utilisateurs. La découverte est à mettre au crédit de Bluetouff, qui indique avoir capturé les paquets envoyés par le logiciel vers Internet, sans la moindre difficulté, puisque ceux-ci transitent en clair.

Il s'avère que ce dernier communique avec une adresse IP référencée dans le parc de Nordnet, filiale de France Télécom spécialisée dans les solutions de sécurité de type contrôle parental, qui opère pour le compte de l'opérateur ce logiciel de sécurisation, censé garantir pour 2 euros par mois qu'aucun accès aux réseaux P2P ne sera effectué depuis les machines du domicile de l'utilisateur.

L'information s'étant rapidement propagée dimanche après-midi, il n'a pas fallu longtemps pour que de facétieux internautes listent les adresses des supposés souscripteurs de l'option Contrôle du téléchargement d'Orange et envisagent de les injecter dans des solutions de type IPFuck, qui permettent de faire apparaitre les adresses IP de son choix sur les réseaux P2P. Du fait d'un logiciel de sécurisation mal sécurisé, les adresses IP censément incapables de se connecter à BitTorrent et consorts sont donc susceptibles d'être détectées par les prestataires chargés de faire la chasse au téléchargement illégal, qui viennent justement d'obtenir le feu vert de la Cnil pour débuter leurs activités ! « En clair, vous payez pour vous amputer d'une parcelle d'Internet avec un software susceptible de mettre votre propre sécurité en danger », résume Bluetooff.

01C2000003277380-photo-statuts-logiciel-orange-s-curisation-xml.jpg

L'export XML des données collectées facilitera la tâche de l'Hadopi... ou des amateurs de poisonning...

En se connectant au serveur en question, on arrive sur une page « statut » qui liste d'une part les IP ayant cherché à afficher la page et de l'autre, les IP des utilisateurs du logiciel. Cerise sur le gâteau : après que le service a semblé hors ligne dimanche soir, du fait sans doute d'un trop grand nombre de connexions, il est toujours possible lundi matin d'accéder à la console Web du serveur sous-tendant le service, celle-ci étant protégée par le couple login / mot de passe par défaut. De quoi entrainer de plus graves conséquences, si une personne mal intentionnée profitait par exemple de cet accès pour injecter du code au sein du client logiciel installé chez les particuliers. La bourde parait tellement énorme que certains se demandent s'il ne s'agit pas simplement d'un honeypot.

D'autres se sont rapidement engouffrés dans la brèche ainsi ouvertes et ont pu mettre au jour le lien qui semble unir le logiciel d'Orange à l'Hadopi. Dans la console Web du serveur Nordnet comme dans l'exécutable fourni à ses clients par l'opérateur est ainsi fait mention, à plusieurs reprises, d'un « HadopiTechnicalServlet » au nom évocateur (voir captures ici et ). Des mentions d'autant plus incongrues que les conditions d'utilisation du service proposé par Orange / Nordnet indiquent clairement que l'installation du logiciel ne garantit pas l'absolution en cas d'identification de l'adresse IP de l'abonné sur les réseaux P2P. Qu'est-il dont fait des informations envoyées par le client au serveur ?

01C2000003277382-photo-controle-t-l-chargement-orange.jpg
Modifié le 01/06/2018 à 15h36
Cet article vous a intéressé ?
Abonnez-vous à la newsletter et recevez chaque jour, le meilleur de l’actu high-tech et du numérique.

Dernières actualités

Après plusieurs bêtas, Apple livre la version 12.2 de son système d’exploitation mobile. Sans bouleverser les habitudes de ses utilisateurs, cette mise à jour apporte quelques nouveautés d’interface bienvenues.
19:33 | iOS
Dans le cadre de l'événement >, qui aura lieu à Amsterdam le 2 avril prochain, Ford va dévoiler la nouvelle génération de véhicules hybrides, dont les nouvelles Fiesta et Focus EcoBoost Hybrid (mHEV).
Le groupe de médias reproche au site d’avoir partagé des astuces permettant de contourner le blocage des chaines Altice si jamais elles venaient à disparaitre du bouquet TV Free.
18:40 | Free
C’est un véritable manifeste que Larry Sanger s’est attaché à rédiger en début d’année. Publié sur son blog personnel, ce document liste les 17 mesures mise en oeuvre par le cofondateur de Wikipedia pour tenter de reprendre le contrôle de sa vie numérique. Un peu passé sous les radars, ce billet méritait bien que Clubic l’épluche pour en extraire la substantifique moelle. Sans grande surprise, les GAFAM en prennent pour leur grade.
L’Union européenne vient de mettre fin à la menace d’exclusion de l’équipementier chinois des réseaux 5G de la zone, mais prône sa surveillance.
17:51 | Huawei
Les nouveaux fleurons de Huawei sont à la fête aujourd’hui. Après une présentation officielle très alléchante, les plus impatients peuvent précommander dès maintenant les P30 et P30 Pro !
17:40 | Bon plan
Le président de Microsoft souhaite que les différents acteurs de la tech travaillent sur des outils de modération communs afin d’éviter la diffusion en direct de tueries de masse, comme récemment en Nouvelle-Zélande.
17:16 | Internet
Bethesda Softworks vient d'annoncer une nouvelle qui ravira les joueurs PC. En effet, les prochains titres de l'éditeur débarqueront également sur Steam à leur sortie en plus de Bethesda.net. Un des jeux majeurs de la firme, disponible depuis l'année dernière, aura également droit à un traitement similaire.
16:43 | Jeux vidéo
C’est Porte de Versailles, à Paris, que Huawei a aujourd’hui posé ses valises afin de présenter ses P30 et P30 Pro. Deux smartphones taillés pour la photographie, qui promettent monts et merveilles en matière de zoom... et sans perte de qualité.
Pewdiepie, ex plus gros YouTuber au monde, s’est récemment fait dépasser au jeu des abonnements par le label musical indien T-Series. Pour lui venir en aide, et lui permettre de regagner sa place de numéro un, des fans du vidéaste suédois ont eu recours à des Ransomwares pour le moins… inhabituels.
16:08 | Malware
C'est fait : le Parlement européen vient de statuer en faveur de la réforme sur le droit d’auteur, après deux ans d’âpres discussions et plusieurs révisions du texte.
Le Sony Xperia 1, héritier du Xperia ZX3, disposera d'un affichage 4K constant... ce qui risque (selon certains) de flinguer l'autonomie.
15:01 | Smartphone
Un an après sa sortie, le P20 Pro de Huawei trône toujours en haut du classement DxOMark, au coté de son petit frère le Mate 20 Pro. C'est dire que le savoir faire du constructeur en matière de photographie mobile est indéniable. Alors quand celui-ci nous a proposé de venir prendre en main son successeur, le bien nommé P30 Pro, nous avons sauté sur l'occasion pour vérifier si Huawei était capable de se surpasser. On vous raconte tout ça dans notre prise en main !
Si Sony Interactive Entertainment ne se rendra pas à l'E3 cette année pour la première fois de son histoire, le constructeur a décidé de prendre la parole de manière un peu différente en 2019. À l'instar d'un Nintendo Direct dont il s'inspire grandement, le State of Play est une nouvelle émission durant laquelle nous avons pu découvrir des jeux PS4 et PlayStation VR.
13:53 | Jeux vidéo
scroll top