n écrivant mon billet sur les conséquences pententiellement néfastes d'un mouchardsécuriciel spécial HADOPI, je ne pensais pas être aussi vite rattrapé par l'actualité. Il n'aura en effet pas fallu attendre plus tard que ce week-end pour découvrir les premiers problèmes de sécurité associés à l'offre que propose Orange en la matière...
Comme on pouvait s'y attendre, ce logiciel s'est retrouvé dans le collimateur dès son lancement, et c'est rapidement qu'a été découverte l'adresse d'un serveur au centre du système Orange. Hasard du calendrier encore, ce dernier tourne sous JBoss et s'avèrerait éligible aux problèmes de sécurité décrits par Renaud Dubourguais...
Comme l'explique Bluetouff, tout a commencé de son côté par une analyse du trafic émis par le client HADOPI proposé par l'opérateur historique. Cette capture a permis d'identifier un serveur central avec lequel communiquent tous les clients, en clair qui plus est. Or il se trouve que ce serveur fait tourner un JBoss. Lequel s'avèrait, d'après ce qu'on peut en lire, ouvert aux quatre vents, façon cas d'école de base proposé par Renaud Dubourguais dans son intervention au SSTIC : consoles d'administration, JMX et Web, accessibles et protégées par le mot de passe par défaut[1]. Bingo.
Je n'ai pas trouvé d'indication sur le rôle exact de ce serveur et en particulier ce qu'il pouvait faire sur les clients, typiquement en terme de récupération d'information et d'exécution de commandes. Ce qui est clair par contre, c'est que compte tenu des informations publiées, il est évident qu'un attaquant informé n'aurait eu aucune difficulté à en prendre le contrôle, accédant à des informations personnelles sur les utilisateurs du système, voire prendre le contrôle des clients si des fonctionnalités malheureuses le lui permettent...
Cette annonce a également aiguisé la curiosité d'autres personnes qui se sont penchées sur le client. Et ont pu confirmer des liens particulièrement forts entre HADOPI et ce logiciel de protection. En plus, quelqu'un a bêtement laissé leaker son nom. Je n'aimerais pas être à sa place au moment même où des centaines d'internautes doivent crawler le web pour savoir de qui il s'agit exactement et identifier l'origine de ce logiciel :/
Que dire ? Pas grand chose. Peut-on être surpris par la nouvelle ? Malheureusement non. Doit-on en rire ou en pleurer ? Je ne sais pas, mais ça m'énerve pas mal. Pour plusieurs raisons qui rejoignent certains point exprimés par Bluetouff ce matin :
- d'abord, le fait que ce logiciel qui s'adresse aux plus vulnérables les place dans une position délicate ;
- ensuite parce qu'un tel système, qui tire profit d'une quasi-obligation législative, puisse être distribué sans faire l'objet d'un minimum de revue ;
- enfin parce que ce qui a été trouvé aurait
dpu être évité par l'application de règles de bon sens, genre changer le mot de passe par défaut...
Quand je pense que Newsoft ironisait à moitié sur un nécessaire passage par la case Présentation"> Présentation"> Présentation"> Présentation"> Présentation">CSPN pour ce genre de logiciel. Force est de constater que non, ce n'est pas le cas, et c'est une honte. En plus d'être honteux, ça ne va pas renforcer une crédibilité déjà largement entamée mais pourtant nécessaire pour prétendre se placer sur le terrain de la pédagogie. Mais bon, chacun son truc.
<Apparté>
Je me prends à regretter que la rump sur le firewall OpenOffice n'ait pas pu être mise sur pied, franchement, ça aurait torché. D'où un message personnel à qui se reconnaîtra : tu veux pas le faire quand même pour le fun ? Hein, stp ;)
</Apparté>
Sérieusement, ce genre d'échec monumental, ça suxe. Et ça me fait moyen marrer que quelqu'un en soit déjà arrivé là. Mais comme atteindre le fond n'empêche pas de creuser, je ne serais malheureusement pas trop étonné de voir sortir des vulnérabilités sur le client lui-même. Ce qui, amha, finirait d'enterrer ce système.
Au point où on en est, certains se demanderont sûrement si ce serait un mal ou un bien. Je vous laisse répondre à cette question...
Notes
[1] Ce qui semble maintenant corrigé.
Jeu de briques
Snake
Pacman
Bubble