S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Hadopi : TMG à l’honneur de la liste Full Disclosure

clap clap clap

Le logiciel anti P2P d’Orange avait connu un faux départ presque somptueux. Censé sécuriser l’abonné contre le risque de sanction Hadopi, il se retrouvait rapidement au premier plan de la fameuse liste Full Disclosure dédiée dans la sécurité : risque de compromission du PC hôte, contournement du gestionnaire de mot de passe, risque de constitution de botnet, porte dérobée offrant en théorie la possibilité d’injecter du code malveillant à tous les abonnés, etc.

The Cult of the dead HADOPI TMG full discosure

Ce week-end, l’auteur de cette première découverte, est revenu à la charge en se penchant cette fois sur le cas de TMG (traduction française de ce post). Un rappel : l’un des serveurs de cette entreprise chargée de flasher les IP pour le compte des ayants droit, et en amont de l’Hadopi, a été pointé du doigt voilà une semaine pour défaut de sécurisation d'un de ses serveurs. TMG s’était défendu en soulignant qu’il ne s’agissait que d’un serveur de test. La SCPP (Universal, Sony, etc.), pour qui travaille TMG, ajoutant par ailleurs que ledit serveur n’était pas protégé. S’en suivait une plainte pour intrusion frauduleuse, plainte finalement retirée par TMG. C’est qu’il est difficile de démontrer une fraude d’accès lorsqu’un serveur n’est pas verrouillé.

En attendant, The cult of the dead HADOPI a profité de l’occasion pour décompiler (loin des rigueurs françaises) un des exécutables disponibles sur ce serveur trop ouvert.  Des fichiers désormais inaccessibles...mais qui sont récupérables en quelques clics via Pastebin. Bluetouff, qui avait signalé en premier la faille chez TMG découverte par des bidouilleurs (non nommés), résume en quelques traits ce post : « C’est plutôt technique, et malheureusement, [...] on est très proche des risques que nous avions exposés à la Commission de Protection des Droits de l’HADOPI. L’analyse du code est sans appel, il est possible d’injecter des commandes à distance sur les machines de TMG ou d’empoisonner des mises à jour. Le risque de compromission que nous avions pressenti est maintenant exposé, et exploité, sous forme d’un script Python nommé Too_Many_Greemlins_exposed_to_the_sunlight.py ».


La question est évidemment de savoir si ces executables se retrouvent dans les serveurs de production, ce que personne ne peut affirmer, pas même la Hadopi.

Au passage, The cult of the dead HADOPI égrene des indices sur ses découvertes, une gestion exotique des mots de passe ou encore une curieuse liste de noms, tout cela trouvé lors d’une visite dans l’intimité du grand surveillant. Dans server_interface.exe, par exemple, « vous pouvez trouver une liste d’on ne sait trop quoi pour l’instant. Vous pouvez facilement la retrouver partout sur le net. Il suffit de chercher KingElvis, Jay@yahoo.se et melon_foli. »

TMG faille sécurité négligence caractérisée

The cult of the dead HADOPI regrette par ailleurs que les pouvoirs actuels de la CNIL soient limités. Voilà plusieurs mois, alors qu’Éric Walter invitait la CNIL à contrôler TMG, la Commission nous avait répondu que son contrôle porte en effet davantage sur « le traitement de l’information plus que la manière dont il est réalisé ». En clair : plus sur « le fichier qui en résulte plus que sur les moyens ».
Marc Rees

Journaliste, rédacteur en chef

Publiée le 23/05/2011 à 10:20

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 65 commentaires

Avatar de Renardin6 INpactien
Renardin6 Le lundi 23 mai 2011 à 10:23:48
Inscrit le vendredi 12 janvier 07 - 336 commentaires
Fliquer internet, c'est comme empecher les copies en Chine, c'est une perte de temps...
Avatar de chaton51 INpactien
chaton51 Le lundi 23 mai 2011 à 10:29:47
Inscrit le mercredi 21 juillet 10 - 1587 commentaires
et d'argent ! notre argent !!! et c'est a nous qu'on demandera de se serrer la ceinture ! foutage de gueule ! la ceinture ca va etre pour les fouetter je pense !

Edité par chaton51 le lundi 23 mai 2011 à 10:31
Avatar de siedrief INpactien
siedrief Le lundi 23 mai 2011 à 10:30:32
Inscrit le mercredi 23 mars 11 - 2586 commentaires
Et encore, les copies chinoises se révèleent parfois être de rais poisins, entre le lait en plastique, les jouets plombés... sans oublier les vêtement inflammables facilement !

Finalement, l'un des deux, même difficilement accessible, est bien plus utile. Question de priorités finalement, vaut-il mieux protéger des gras qui ne travaillent pas plutôt que le Peuple Français (pour la France je parle) ?
Avatar de siedrief INpactien
siedrief Le lundi 23 mai 2011 à 10:31:14
Inscrit le mercredi 23 mars 11 - 2586 commentaires
et d'argent ! notre argent !!! foutage de gueule !


Tous ces millions qu'on pourrait affecter, je sais pas, au hasard... à loger les mal logés ? Je dis bien au hasard, hein.
Avatar de chaton51 INpactien
chaton51 Le lundi 23 mai 2011 à 10:31:19
Inscrit le mercredi 21 juillet 10 - 1587 commentaires
et ouaip

Edité par chaton51 le lundi 23 mai 2011 à 10:31

Il y a 65 commentaires

;