Il y a quelques jours, lorsque HADOPI a eu son feu vert de la part de la CNIL afin de pouvoir récupérer les IPs des internautes en infraction avec la propriété intellectuelle, le FAI français Orange avait mis en ligne un outil qui accompagnait la loi pour la sécurisation de sa ligne contre les téléchargements illégaux.
Ce moyen de sécurisation aurait pu être bien vu des internautes seulement si son utilisation avait été gratuite, néanmoins c'est un abonnement de 2€/mois et l'obligation d'avoir Windows qui crée les premiers points noirs du logiciel. Malheureusement ces deux derniers, l'aura du logiciel s'est considérablement assombrie.
Etape n°1 :
De curieux internautes voulant essayer ce logiciel se sont rendus compte que pour 2€/mois, les communications entre le logiciel et le serveur mère situé chez NordNet n'étaient aucunement cryptés laissant donc le soin aux curieux de pouvoir retracer le chemin exact que les paquets prenaient. Tout ceci menait donc sur les serveurs de NordNet... non protégé eux-aussi car, un simple accès avec le compte admin et le mot de passe du même nom que le compte faisait apparaitre en clair la liste des IPs des internautes ayant souscrit à ce logiciel.
Etape n°2 :
La protection par mot de passe que l'on peut mettre en place afin que les autres utilisateurs de l'ordinateur ne puissent pas modifier les paramètres ou désinstaller le logiciel est lui aussi rendu inopérant car une version modifiée circule sur internet pouvant permettre à tout le monde de modifier les paramètres en tapant n'importe quel mot de passe.
Etape n°3 :
"OH MON DIEU ! On a été piraté" s'écrit Orange, voulant à tout prix ne pas admettre que son logiciel et les communications avec le serveur distant n'étaient pas protégés (dans la normale, ces actes sont punis par la loi française) et décide donc de retirer le lien de téléchargement du logiciel de sa page de présentation. Ce sera désormais l'e-mail reçu après achat qui fournira le lien pour télécharger la protection.
Etape n°4 :
Quelle fut la plus grande surprise qu'aurait vu le site PCInpact en faisant une recherche sur Google ?
C'est simple, Orange fait la promotion de logiciel anti-P2P en expliquant que les internautes peuvent sécuriser "jusqu'à 3 PC contre les téléchargements illégaux grâce aux antivirus". De ce fait, Orange assimile que son logiciel anti-P2P est un logiciel anti-virus ! Ainsi l'internaute moyen désinstallera son petit Avast et installera le logiciel d'Orange pour se sentir plus en sécurité qu'avant...
Etape n°5 :
Ce matin est apparu un message sur la liste Full Disclosure de Seclists.org. Message qui mettrait en garde contre le logiciel anti-P2P d'Orange. Ainsi le logiciel disant pouvoir sécuriser 3 PCs contre les téléchargements illégaux et virus souffre d'une grosse faille de sécurité pouvant permettre à un utilisateur sans privilège d'avoir encore plus de pouvoir que l'administrateur de l'ordinateur. Mais ce n'est pas tout, un défaut de signature des mises à jour peut permettre de convertir un ordinateur qui abrite le logiciel anti-P2P d'Orange en un maillon d'un réseau botnet laissant la porte ouverte à toute pratique mettant la sécurité de l'abonné au placard.
Avec tout ceci, Orange se permet de faire signaler que le logiciel HADOPI a été développé pendant l'examen de la loi en prévention de son application dans la loi française et décline toute responsabilité sur les problèmes qu'il pourrait engager.
"Il y a internet, et internet... par Orange."