Orange “n’envisage pas” un nouveau logiciel anti-p2p

Le 17 juin 2010

Suite aux révélations sur les failles de son logiciel anti-p2p, Orange annonce officiellement son abandon, et dit ne pas envisager une nouvelle offre similaire.

Suite aux révélations sur les failles du «Contrôle de téléchargement», le logiciel d’Orange destiné à bloquer l’exécution de logiciels p2p, l’opérateur a finalement décidé de le retirer de la vente. Contactés par Owni, Orange nous précise l’«abandonner» définitivement. Et, refroidi par cet épisode, «veiller à ce qu’une telle chose ne se reproduise plus», et «ne pas envisager» une nouvelle offre similaire. «Je ne pense pas qu’on en re-proposera» nous indique une porte-parole.

Lancée le 10 juin dernier, l’offre optionnelle propose aux particuliers, pour deux euros par mois, de “sécuriser et contrôler vos ordinateurs connectés à Internet contre des usages de téléchargement illégaux en peer-to-peer”. Soit de bloquer l’exécution de programmes P2P. Dimanche, le blogueur bluetouff s’aperçoit que le logiciel communique de façon transparente avec un serveur distant. Une page web affiche ainsi en clair les adresses IP des visiteurs de la page et des clients qui ont activé le logiciel. S’en suit la révélation que l’accès à l’administration de ce serveur n’est pas sécurisée. Les log-in et mot de passes ont été laissés par défaut. Ouvrant la porte, par exemple, à la possible injection de malwares. `

«Je ne pense pas qu’on en re-proposera» nous indique une porte-parole.

Parallèlement, certains se sont mis à faire le reversing du logiciel. Mardi, sur Full Disclosure, mailing-list autour de la sécurité informatique, est paru un billet analysant en détails le code source, et pointant l’existence de nouvelles et importantes failles au coeur du système. Comme le rapporte PC Inpact, l’installation du logiciel pourrait ainsi permettre de contourner la gestion des mots de passe et transformer l’ordinateur en maillon d’un réseau botnet. Mais surtout à un utilisateur sans droit de mettre en place un proxy HTTP, et avoir ainsi accès au système et y exécuter n’importe quel code (par exemple malveillant).

L’auteur du billet ajoute que le logiciel a “encore d’autres secrets à révéler”. Quelques heures plus tard, toujours sur Full Discosure ,de nouvelles failles étaient en effet publiées.«Il est donc clair que ce logiciel, en plus d’être inutile (…) est dangereux», commente Cédric Blancher, ingénieur en sécurité informatique sur son blog. «Au moins, vu l’ampleur des dégâts, il est clair que ce logiciel est désormais mort et enterré. Voilà une perte que personne ne pleurera…»

Du côté d’Orange, on nous précise que «vingt-deux personnes ont souscrit à l’offre, mais aucune ne l’avait effectivement activé». Lundi, face à la découverte des failles, l’opérateur a «décidé de ne pas envoyer les clefs d’activation». Puis hier, «a contacté les clients concernés pour leur annoncer l’arrêt de l’offre et les aider à désinstaller le logiciel».

« Voilà une perte que personne ne pleurera…”, indique Cédric Blancher, ingénieur en sécurité informatique.

De nouvelles failles vont peut-être voir le jour. Mais les clients d’Orange ne pourront plus en faire les frais. Jusqu’à une prochaine initiative ? Si l’opérateur dit ne pas l’envisager, le gouvernement et sa loi Création et Internet poussent dans ce sens.

En juin dernier, dans ses observations au Conseil constitutionnel, le gouvernement revenait sur l’obligation de l’abonné de veiller à la sécurité de son accès Internet. Il indiquait ainsi : «Quant aux ordinateurs eux-mêmes, il n’est guère difficile de procéder à une surveillance, par l’abonné lui-même, de leur utilisation. Il suffit pour cela d’y installer un logiciel équivalent aux logiciels de contrôle parental aujourd’hui fournis gratuitement par la plupart des fournisseurs d’accès, dont le paramétrage, afin de faire obstacle à l’utilisation des logiciels nécessaires pour procéder aux échanges de pair-à-pair, est d’ores et déjà possible.».

«tout ce qui a trait à Hadopi amuse beaucoup les hackers»

Du côté d’Orange, on nous dit regretter qu’il y ait eu «confusion» entre le logiciel et Hadopi. Et de souligner : «tout ce qui a trait à Hadopi amuse beaucoup les hackers». Concernant les poursuites annoncées lundi contre des personnes liées à la divulgation des failles, «pour le moment » aucune n’a été lancée. « Il y a deux types de démarches : ceux qui informent et ceux qui sont plus malveillants. Les personnes, comme bluetouff, qui nous ont informé ne vont pas être ennuyées. Après on aurait préféré que ce dernier le fasse de façon un peu plus privée».

Via, et au-delà ce cette affaire, se pose de nouveau la question de la faisabilité et de la sécurité des fameux «logiciels de sécurisation» que l’Hadopi est amené à labéliser. «En tant que FAI, on sera tenu de commercialiser un logiciel » indique Orange. Avant de nous rappeler qu’il faut d’abord que l’Hadopi ait publié le cahier des charges…

> Crédit Geoffrey Dorne

Laisser un commentaire

Derniers articles publiés