Passer au contenu

Le logiciel anti-P2P d’Orange bien mal sécurisé

Des internautes sont allés fouiller ce week-end dans les petits secrets du logiciel controversé d’Orange. Ils ont fait de surprenantes découvertes.

Le logiciel de contrôle de téléchargement d’Orange n’en finit plus de faire des vagues. Lancé jeudi 10 juin, cet outil qui bloque une liste de logiciels P2P contre 2 euros par mois a été décortiqué ce week-end par plusieurs internautes, dont Olivier Laurelli, alias Bluetouff, qui faisait déjà la une voici quelques jours à propos de l’affaire Wawa-mania.

Cette fois, ce bloggeur et néanmoins expert en sécurité informatique s’est amusé à installer le fameux logiciel et à écouter (« sniffer ») grâce à un logiciel ad hoc les connexions qu’il établissait avec l’extérieur. Et a appris bien des choses.

D’abord, que le logiciel utilisait l’adresse IP d’un serveur chez Nordnet, filiale de France Télécom qui a conçu le logiciel. Ensuite qu’en se connectant avec un simple navigateur à cette IP, on pouvait avoir accès (ce n’est apparemment plus le cas) à une page Web publique qui affichait, sans aucune protection, l’ensemble des adresses IP des internautes ayant accédé à cette page… Qu’il s’agisse de clients d’Orange ayant installé le logiciel ou de simples curieux qui ont cliqué sur l’adresse du serveur, qui a largement circulé sur Twitter ce week-end.

Des utilisateurs du logiciel bientôt victimes de la Hadopi ?

Mieux, en partant des travaux de Bluetouff, d’autres internautes, anonymes cette fois, sont parvenus à entrer dans l’interface administrateur du serveur en question. Une opération guère compliquée, à vrai dire, puisqu’il s’agissait de l’identifiant et du mot de passe par défaut !

Voilà qui en dit long sur la sécurité du prétendu logiciel de sécurisation. D’autant que des petits malins se sont amusés à copier-coller les IP repérées sur le site pour les rendre disponibles un peu partout sur le Net, dans l’idée qu’elles viennent garnir les collections de fausses IP de SeedFuck et autre IPFuck. Ce qui pourrait hypothétiquement nous mener à un drôle de paradoxe : voir des clients Orange ayant souscrit l’option anti-P2P se faire faussement « flasher » par la Hadopi…

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Eric Le Bourlout