Exclu : une faille révèle le projet de décret sur les verrous Hadopi
Lol
Voilà qui va générer un nouveau couac dans les rouages d’Hadopi : nous indiquions ce matin que la France avait notifié à Bruxelles un projet de décret sur les moyens de sécurisation prévenant les usages illicites.
Fait plutôt rare, la France a exigé la confidentialité de ce texte notifié à la Commission et aux autres États membres. Sauf que...
Il est en réalité très simple de contourner cette confidentialité. Comment ? Il suffit de retrouver l’URL d’une précédente notification publique cette fois, et d'y remplacer son identifiant avec celui, connu, de la notification secrète (158763) .
http://ec.europa.eu/enterprise/tris/pisa/app/search/index.cfm?fuseaction=getdraft&inum=1587363
Un autre moyen bête et simpliste consiste à se servir de liens vers des .Doc d'autres décrets affichés en clair. Par exemple
http://ec.europa.eu/enterprise/tris/pisa/cfcontent.cfm?vFile=120100548FR.DOC
...toute récente URL d'un .DOC qui n'est pas confidentiel.
Il suffit alors de remplacer 548 par 549 (numéro du décret secret). Dans un cas comme dans l'autre, on obtient alors le document en clair que la France ne veut pas publier (nous venons de l'étudier).
« Si ce n'est pas une négligence caractérisée, ça... » nous commente un lecteur qui nous a signalé l'astuce. On constate en effet que ce document est accessible par quiconque dispose d'un simple navigateur et n'est donc absolument pas sécurisé. Un comble pour un texte voulant imposer la sécurisation à outrance.
Tout le monde peut désormais lire le texte de la notification, disponible sur cette page ou sur ce lien directement, hébergé sur nos serveurs cette fois, ou sur Scribd:
Fait plutôt rare, la France a exigé la confidentialité de ce texte notifié à la Commission et aux autres États membres. Sauf que...
Il est en réalité très simple de contourner cette confidentialité. Comment ? Il suffit de retrouver l’URL d’une précédente notification publique cette fois, et d'y remplacer son identifiant avec celui, connu, de la notification secrète (158763) .
http://ec.europa.eu/enterprise/tris/pisa/app/search/index.cfm?fuseaction=getdraft&inum=1587363
Un autre moyen bête et simpliste consiste à se servir de liens vers des .Doc d'autres décrets affichés en clair. Par exemple
http://ec.europa.eu/enterprise/tris/pisa/cfcontent.cfm?vFile=120100548FR.DOC
...toute récente URL d'un .DOC qui n'est pas confidentiel.
Il suffit alors de remplacer 548 par 549 (numéro du décret secret). Dans un cas comme dans l'autre, on obtient alors le document en clair que la France ne veut pas publier (nous venons de l'étudier).
« Si ce n'est pas une négligence caractérisée, ça... » nous commente un lecteur qui nous a signalé l'astuce. On constate en effet que ce document est accessible par quiconque dispose d'un simple navigateur et n'est donc absolument pas sécurisé. Un comble pour un texte voulant imposer la sécurisation à outrance.
Tout le monde peut désormais lire le texte de la notification, disponible sur cette page ou sur ce lien directement, hébergé sur nos serveurs cette fois, ou sur Scribd:
Marc Rees
le 13 octobre 2010 à 11:53
(62 208
lectures)
Actualités et brèves relatives
- 13 / 10 / 2010 : Les verrous de sécurisation d'Hadopi notifiés en secret à Bruxelles
- 13 / 10 / 2010 : "Je serais ravi un jour d’être poursuivi par Hadopi" (Dupont-Aignan)
- 13 / 10 / 2010 : Hadopi : le décret Free publié au J.O., 1500 € par email non transmis
- 12 / 10 / 2010 : Christine Albanel : 300 000 euros de revenus annuels chez Orange
- 12 / 10 / 2010 : Sarkozy explique devant le Pape sa croisade sur Internet (MàJ)
- 12 / 10 / 2010 : Hadopi : le décret "Free" pourrait ne pas être adopté tout de suite
- 12 / 10 / 2010 : Les ayants droit supporteront 75% des coûts de l'Hadopi anglaise
- 11 / 10 / 2010 : Hadopi : le ministère de la Culture patine, les coûts dérapent
