Alors qu’Orange vient de lancer une solution de contrôle de téléchargement sur un poste, une faille a été mise en lumière par le blog Bluetouff.com.
Olivier Laurelli, un spécialiste en sécurité, a pu accéder à la liste des adresses IP des clients ayant installé le logiciel et qui l’utilisent.
Comment? En sniffant (reniflant) les connexions sortantes du logiciel d’Orange par l’intermédiaire de l’outil Wireshark.
C’est ainsi qu’il a découvert une URL menant à un serveur de NordNet, filiale du groupe France Telecom – Orange.
Dès la mise en ligne de l’information, de nombreux internautes l’ont relayé, certains allant jusqu’à proposer d’injecter les adresses IP collectées dans les logiciels type Seed fuck ou IP Fuck (permettant de générer une activité factice sur des réseaux P2P pour désorienter « les chasseurs de pirates » liés à la Hadopi).
On arrive à une situation paradoxale. Un internaute, qui veut être lavé de tout soupçon en installant le logiciel de contrôle de téléchargement d’Orange, risque de voir son adresse IP diffusée et exploitée pour leurrer les radars de TMG, la société en charge de surveiller les réseaux peer-to-peer pour le compte des ayants droit.
Des internautes plutôt curieux ont réussi à faire le lien entre le logiciel d’Orange et la Hadopi, en démontrant l’existence d’un HadopiTechnical Servlet (blog TheInternets).
Encore plus sensible : Il était également possible d’accéder à la console d’administration de l’outil par le biais d’un couple identifiant + mot de passe très simple.
Ces informations ont été largement relayées sur Twitter.
Cette négligence aurait pu avoir des conséquences plus graves, comme l’introduction d’un malware.
« (…) ils peuvent modifier le JAR, qui injecte du code aux logiciels client » , explique le blogueur Bluetouff sur TheInternets.
Contacté lundi 14 juin en milieu de matinée, le service presse d’Orange reconnait « une faille dans le serveur de NordNet mais qui a été corrigé ».
Une réunion interne était en cours chez l’opérateur pour faire le point sur cet incident.
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
