TMG : un petit défaut de sécurisation dans le doc Hadopi de M6
Extra! (net)
Le reportage de M6 sur Hadopi a généré de nombreuses critiques chez ceux qui ont une connaissance un peu plus approfondie de la loi en question. Des chiffres fournis par les ayants droit, aucun chapitre sur la sécurisation de l’accès, rien sur le filtrage, encore moins sur le DPI, rien sur la fiabilité d'une IP, abus du mot "pirate" plutôt qu'abonné… Un autre petit bug, plus discret, tâche ce reportage trop parfait.
Au fil de l'émission, l’une des séquences a été tournée dans les locaux de l’ALPA, l’association de la lutte contre la piraterie audiovisuelle. C'est là qu'un lecteur attentif (merci la haute définition) a repéré une petite faille dans les séquences de la chaîne.
En effet, grâce à deux plans sur un écran montrant une console d’administration, il lui a été possible de reconstituer en deux temps trois mouvements, l’URL de l’extranet de TMG.
https://cei.tmg.eu/alpa.agent/authentication.php
Du coup, il lui a été possible de reconstituer d’autres URL en remplaçant « alpa » par le nom des autres structures d’ayants droit ayant été autorisées par la CNIL à travailler avec TMG avant le transfert des IP à l’Hadopi
https://cei.tmg.eu/sppf.agent/authentication.php pour la SPPF
https://cei.tmg.eu/scpp.agent/authentication.php pour la SCPP...
La chaîne ayant tenté de cacher cette URL, en vain, on peut sans risque parler d’un petit défaut de sécurisation exposé à des millions de téléspectateurs...
Au fil de l'émission, l’une des séquences a été tournée dans les locaux de l’ALPA, l’association de la lutte contre la piraterie audiovisuelle. C'est là qu'un lecteur attentif (merci la haute définition) a repéré une petite faille dans les séquences de la chaîne.
En effet, grâce à deux plans sur un écran montrant une console d’administration, il lui a été possible de reconstituer en deux temps trois mouvements, l’URL de l’extranet de TMG.
https://cei.tmg.eu/alpa.agent/authentication.php
Du coup, il lui a été possible de reconstituer d’autres URL en remplaçant « alpa » par le nom des autres structures d’ayants droit ayant été autorisées par la CNIL à travailler avec TMG avant le transfert des IP à l’Hadopi
https://cei.tmg.eu/sppf.agent/authentication.php pour la SPPF
https://cei.tmg.eu/scpp.agent/authentication.php pour la SCPP...
La chaîne ayant tenté de cacher cette URL, en vain, on peut sans risque parler d’un petit défaut de sécurisation exposé à des millions de téléspectateurs...
Marc Rees
le 20 octobre 2010 à 12:57
(41 110
lectures)
Actualités et brèves relatives
- 18 / 10 / 2010 : Les impôts pourraient financer les frais "Hadopi" des ayants droit
- 18 / 10 / 2010 : Hadopi : plus l’abonné sera sécurisé, plus il sera surveillé
- 14 / 10 / 2010 : Adresse IP : l'Hadopi envisage un "risque d'emballement accidentel"
- 08 / 10 / 2010 : Eric Walter (Hadopi) invite la CNIL à vérifier les opérations de TMG
- 04 / 10 / 2010 : Orange et SFR devraient envoyer les emails Hadopi ce matin
- 01 / 10 / 2010 : Hadopi : conférence de presse le 5/10, nous voilà avertis (MàJ)
- 29 / 09 / 2010 : Comment l'Hadopi veut inoculer le virus du filtrage en France
- 21 / 09 / 2010 : Hadopi : comment les acteurs préparent le filtrage du net français
