Sécurisation par Orange, suite et fin

Tout commence (ou continue...) par la mise à disposition sur Internet d'un "patch" pour rendre inopérante la protection du logiciel par mot de passe. En effet, après avoir installé l'exécutable, n'importe quel mot de passe ouvre le panel de contrôle du logiciel. Quoi de mieux  pour un ado qui veut télécharger malgré ce logiciel installé par ses parents que de paypasser la protection aussi facilement qu'un double clic ?

On apprend aussi que le logiciel intègre le téléchargement de code externe depuis des serveurs (ces même serveurs protégés par le fameux login admin / admin !). Un message intitulé "Patriotic botnet with Orange’s HADOPI software" sur la liste de diffusion "Full-Disclosure" a donc été publié, soulignant que ce logiciel serait une entrée en matière parfaite pour monter un botnet (réseau de PC zombies), vu que l'ont pourrait alors virtuellement exécuter n'importe quel binaire avec des droits système.

Ajoutez à cela qu'un hacker du nom de "cult of the dead HADOPI" ( *rires* ) a démontré que le logiciel locale lui-même présentait une brèche de sécurité importante permettant de compromettre entièrement le PC. Un simple utilisateur peut exécuter du code avec des privilèges système pour qui sait se débrouiller un peu.

C'est pourquoi la décision d'Orange de suspendre le produit n'est pas étonnante. Et ce malgré une énorme quantité de client ne dépassant pas les 30 inconscients.

Toute cette affaire aura au moins été utile pour montrer à quel point l'HADOPI va avoir du mal sur le dossier de la labialisation de logiciel de sécurisation ( dont le décret n'a toujours pas été publié...). On sait également maintenant qu'Orange est un port-étendard de la riposte graduée. Bien mal s'en faut.

Sources : Numérama / Numérama / GlobalSecurityMag

Images : Numérama / IrishMark