Si une personne d’Orange pouvait me contacter SVP… il y a un très gros problème avec votre web-console, oui oui … celle du mouchard HADOPI…
EDIT : il semble que Orange et Nordnet aient rapidement réagi, c’est à porter à leur crédit.
On savait que le soft de sécurisation HADOPI allait être un moment bien rock’n roll,et bien voilà, c’est fait ! Les ip de ses clients sont accessibles sur le Net, ça donne vraiment envie qu’Orange vous « sécurise » non ? Il manque plus qu’un OpenOffice en remote et on est blindés 
Le logiciel proposé à la vente par Orange est sensé vous prémunir de l’utilisation de logiciels susceptibles de vous valoir les foudres de la HADOPI. En clair, vous payez 2 euros pour ne plus avoir le droit d’utiliser un logiciel P2P, même si ce que vous souhaitez télécharger est légal. En soit le concept est assez crétin. Mais là, le comble c’est la mise en place. Le logiciel communique avec un serveur distant, un servlet java en fait situé sur l’ip 195.146.235.67. Tout transite en clair, et tout est PUBLIC… on a même les IP des clients qui ont activé et acheté ce soft, comme les ip des simples visiteurs de cette page qui va devenir culte.
Pour obtenir l’ip de ce serveur, nous avons « sniffé » les sorties de ce soft avec Wireshark sur notre propre réseau local, du coup, nous n’avons pas eu trop de mal à trouver ce servlet… très drôle non ? C’est pas ça une négligence caractérisée ?
Toujours à propos du soft de « sécurisation » Hadopi par Orange, et surtout du servlet distant, il y a bien pire… un truc ahurissant nous a été signalé sur Twitter, mais nous ne le publierons pas…
Billets aléatoirement en relation... ou pas:
- HADOPI : An interoperable and modular XML bullshit
- HADOPI : son pire échec
- 20 Minutes n’a pas tout compris à HADOPI
- HADOPI : Pascal Nègre défend son bébé
- HADOPI : réponse sommaire à la problématique de la labellisation des moyens de sécurisation
C'était trop tentant ? Welcome back
Pour enfoncer le clou…. http://www.nordnet.com/vues/nordnetfr/corporate/e…
Revoilà notre blogueur préféré
Re-Bienvenue chez toi.
welcome back
Je m'occupe des captures de http://195.146.235.67/status , et de les publier sur http://secu-orange.hostoi.com quand j'aurai un peu de temps
ToYonos .. c'est bien ça que j'évoque, désolé tu es le premier commentaire que je censure sur ce blog
Je ne peux pas publier ça j'espère que tu me comprendras.
@all thx
Bien vu Olivier ! Bravo pour le boulot. J'espère que Hadopi everra un mail à ses clients afin de les alerter sur leur défaut de sécurisation
Hey Cappuccino,
On en a la larme à l'oeil ici, malheureusement ca se passe exactement qu'on on l'avait prédit tous les deux
Et voilà un petit article pour graver dans le marbre cette journée magnifique :
Breaking News Hadopi : Mort du logiciel de "sécurisation" d'Orange : http://ow.ly/1XQCA
@bluetouff tu fais du teasing
"un truc ahurissant nous a été signalé sur Twitter" (p.s. y'a une faute d'orth sur un er-é dans l'article)
Par contre, c'est pas Orange qui s'occupe du site, tu devrais contacter NordNet directement : http://who.is/whois/nordnet.fr/
NordNet est une filliale de france telecom donc ça y arrivera rapidement quand même http://www.nordnet.com/vues/nordnetfr/corporate/q…
un mail est parti, la réponse : "votre mail sera traité dans les plus brefs délais .. blah blah"
Content de te revoir
Très beau retour en force ^^ , magnifique .
La pêche à la mouche c'est vite chiant
thx
Bien joué, mais qu'es que ce piti logiciel dit au servlet ? ils parlent pas de la pluie et du beau temps j'espère ^^
Ca on a pas le droit de le savoir, les conditions d'utilisation de ce soft l'interdisent. En clair Orange joue la "sécurité" par l'obscurantisme. On sait que c'est une mauvaise pratique mais ça ne semble pas les déranger.
ha ouai quand même ^^
Sa transite en clair, mais tas pas le droit de rgarder ….
le cryptage, c'est pas fait pour faire joli …..
Ce qui me chiffonne c'est qu'il y ait des IP "client" de tous les opérateurs dans le listing (Free, NC et autres).
Pour un servlet qui collecte des données issues de cette espèce de capote trouée à 2€/mois théoriquement accessible qu'aux abonnés Orange (les chanceux) c'est étrange…
C'est qu'il y a aussi les ip des gens qui sont connecté sur la partie web et qui regardent, et la t'est pas obligé d'être orange pour aller voir les failles de sécuritée …
Les autres c'est ceux ce connectant en http sur le servlet
Et en plus on trouve déjà des listes de ces ip sur le net: http://paste2.org/p/876045
</consternation>
Nombreuses IPs de chez Free, Neuf, pas mal chez Orange, Googlebot, Amazonaws, des IPs de Belgique, Suède, Suisse, Japon, Etats-Unis…
Sans oublier les innombrables proxys :-°
Welcome back mister Bluetouff !!
En pleine forme à ce que je vois !
Je sens qu’on a pas fini de rigoler avec HADOPI.
A part cela, je me demande comment expliquer à une clientèle de particuliers, que ce truc c’est de la daube, qu’il faut pas s’en servir, et que même si on s’en sert, ça ne protège pas, au contraire !
Comment voulez vous que le pékin moyen comprenne quoi que ce soit ?
On sent le truc réfléchi quand même :')
En effet, en plus je crois que j'ai vus mon ip :s
En fait, Orange a décidé de faire un geste commercial en offrant gracieusement les IP de tout le monde afin d'éviter que nous utilisions IPfuck ou Seedfuck…
LOL Psycoyote !
Welcome back bluetouff !
PS : pourquoi ya que les mecs d'Orange mobile qui m'appellent? je rève d'avoir un commercial Orange Internet qui essaie de me vendre cette option… :'(
je suis pas alle sur web-console jouer avec, mais me dites pas qu'ils ont laisse le mot de passe par defaut du user "admin" de JBoss quand meme!
Evidement.. qu'ils l'ont laissé.
désolé j'ai du censurer crashdump
Bah ? La page du serveur JBoss n'est plus en ligne..
Ah si c'est corrigé vous pouvez lacher
Donc voilà, oui le mot de passe du web admin JBoss était bien celui par défaut…
Login: admin, mot de passe: admin.
… et c'est bien moche.
Incroyable !!
C’est assimilable à une faute professionnelle, non ?
ça n'est pas corrigé, ce me semble … °°
Je viens de réaliser, faudrai pas que des gens mettent cette liste dans des softs tels que seedfuck et companie.
Sa fait peur :s
A mon avis, c'est déjà fait. Ces pauvres IP seront les premières victimes collatérales de la guerre déclenchée par Hadopi.
Super, bon bah j'en fait partie alors …
Moi aussi
Mais j'habite pas en France, et j'en suis fier
Pas mieux comme retour fracassant
Le serveur ne répond plus. Déjà un DDos ? Ou une réaction du prestataire ?
Un retour apprécié. Et quel retour !
Argh, raté, j'aurais bien aimé y allé
.
Comme quoi ils ont voulu aller le plus vite possible et faire peur, alors que c'est eux le danger
.
PS : Je me demande encore comment des gens peuvent se foutre à ce point de la sécurité (mais pour les mots de passe par défaut c'est aussi à cause de JBoss
, et les trucs en clair il y en a des tonnes qui circulent (facebook, toussa, ne sont pas en https 
).
PPS : Vous avez mis quelle date pour les premiers mails de l'HADOPI ?
La collecte des ip semble avoir commencé
Ca parait trop gros , status servlet accessible web-console non protegee
ca pue l'honeypot.
Ils se sont surement dit , notre mouchard c'est bien pour l'abonne lambda qui achete un PC sous WIndows sans reflechir, comment va t'on pieger les plus geeks sur Linux et Mac.
La reponse ..c 'etait aujourd'hui… Il suffit d'un qui rentre dans la breche pour que tout le monde suive… bongo, jackpot dans les logs de JBoss ce soir.
dans status on voit passer des IP des curieux sur la web-console
Quelque part dans les fichiers de log ils auront ceux qui surveillaient via la StatusServlet.
A ton avis, que vont ils faire de ces IP?
La même chose qu'avec les ip qui se connectaient à une époque en telnet sur les livebox en root avec le pass 1234 au pif ? non ?
Plus sérieusement, récupérer les ip qui se sont connectées sur une page qu'ils ont laissé publique (et la je parle pas de l'admin hein) ça ne va pas leur servir à grand chose. Du coup je crains fort que non ce ne soit pas du tout un honeypot et qu'il y ai bien eu une boulette de config quelque part.
possible soit grosse erreur de config (mais ils ont des bleus chez Orange qui connaissent rien a Jboss, ou oubli apres mise en prod trop rapide pour engranger ces 2euros /mois )
Soit c'etait voulu…
Peux tu nous expliquer à quoi ça leur servirait ? Je saisis mal, quelque chose m'a peut être échappé.
Content de ton retour Bluetouff (j'en avais un peu marre d'être "perdu sur le net" !!! :p)… Du coup t'es plus hébergé en Suède ???
Merci
Non je me suis rapatrié en France du coup, je suis assez géné du fait que les sites des gens qui m'hébergeaient aient été impactés
Hardy as tu seulement tenté de reverse le client proposé par Orange ? As-tu seulement essayer de dump les requêtes vers le serveur que tu considères comme un Honeypot ?
Si oui c'est avec plaisir que je comparerai tes datas aux miennes . En attendant et vu ce que j'ai et que l'ont m'a fournis, tout me laisse à penser que c'est un serveur d'auth qui permet non pas d'update mais de compléter le binaire avec les fonctions qui lui manque (volontairement).
Amicalement
C'est à peu près ou j'en étais rendu: Serveur d'auth. baclé.
J'espère qu'ils se sont sorti les doigts sinon leur JBOSS va pas tenir longtemps
: http://www.sstic.org/2010/presentation/JBOSS_AS_E…
J'espère qu'ils se sont sorti les doigts sinon leur JBOSS va pas tenir longtemps
Pour ceux qui veulent pouvoir arreter le service sans tout désinstaller (quand on change la configuration du service ou quand on kill le process, le process se relance et réinitialise la config),
créer une clé dans la BDR :
HKLMSYSTEMCurrentControlSetServicescdtsvc , clé "DefaultAction", valeur : 128
fo0
1. je ne suis pas chez Orange
2. j'ai pas eu le client d'Orange
3. je ne suis pas sur WIndows et j'evite meme de le virtualiser.
4. j'ai recupere des traces pcap qui ont circule.
5. je me suis connecte a la servlet Status de JBoss
J'ai suivi l'affaire via Bluetouff dans l'apres midi. Ca se suit aussi bien que les amours du petit Nico et Carlita dans Voici et glagla;-)
Tout d'abord respect a cette investigation autour du client d'Orange et de leur serveur.
D'apres les quelques traces vues, le serveur serait interroge par le binaire client sur des softs autorises ou non?
Je laisse les specialistes a parler a ce sujet.
Honeypot simplement car ca me parait tres gros que leur app server JBoss soit pas securise… c'est pour ca que je pensais que ca pouvait etre volontaire…
Amicalement
Hardy pas de soucis et ma réponse n'était pas agressive mais si quand je la relis, et je l'avoue limite… Sans doute des restes d'un truc précèdent
.Pour le pcap que tu as vu c'est le mien.
Et hélas, je crains vraiment que cela soit involontaire et digne d'un grand chef de projet de chez ….. cette énorme boulette. Mais heureusement pour eux les vilains d'Internet sont là pour les aider ::)
Le site refonctionne…avec toujours la même faille. Finalement Orange n'a toujours pas réagi…
Pourquoi "il semble que Orange et Nordnet aient rapidement réagi, c’est à porter à leur crédit." moi je peux encore accéder à l'interface administration et aux logs IP ?
ARRRGGGH !
Le serveur était indisponible un moment j'ai cru qu'ils l'avaient éteint pour maintenance
Ce n'est visiblement pas le cas ☠☠☠
ouai il a surement subit quelques attaques, ça doit surement être ça
Et j'ai remarqué des personnes connectées à la console qui transferent beaucoup de fichiers. Très louche non???
c'est bien vu, merci,
PHT
J'aime bien les identifiants d'accès de la web console… ça donne l'impression de faire du high-level hack ^^…
Personne a essayé de l'envoyer à http://www.virustotal.com/ ?
Je suis pratiquement certain qu'il va se faire pwn.
Un "Youpi.jar" aurait été aperçu dans le source java… ^^'
Et si il y avais moyen d'infecter tous les clients de ce soft orange par le biais de ce serveur ?
… je dis ça, je dis rien…
C'est effectivement un risque énorme
Et si il ne servait effectivement qu'a vérifier les abonnements et la version du soft ?
<servlet-name>HadopiTechnicalServlet</servlet-name>
<display-name>HadopiTechnicalServlet</display-name>
<description>Servlet used by standalone applications to perform updates and check licenses</description>
<servlet-class>com.nordnet.hadopi.ws.technical.HadopiTechnicalServlet</servlet-class>
http://195.146.235.67/web-console/WebModule.jsp?O…
C'est assez inquiétant ce que tu paste là, tu penses que le HadopiTechnicalServlet communique directement des infos à la HADOPI ?
Non j'aurais tendance à dire qu'ils l'ont appelé "HadopiMachin" parce que ca a été développé dans ce cadre (et probablement très à la rache).
Et du coup les messages que tu as chopé avec Wireshark seraient probablement des "est-ce que l'abonné a bien payé ses deux euros" (si oui on lui coupe le net sinon on le laisse utiliser ses softs… la bonne blague).
Quoiqu'il en soit ca n'excuse en rien l'amateurisme total que sent cette affaire (ca doit être un député lui même qui a monté le serveur…)
Qu’est-ce qu’il faut en tirer comme conclusions ?
Qu’il n’y a que l’usage d’un VPN (un tunnel, quoi) qui pourrait servir de preuve pour se défendre en cas d’accusation (par la Hadopi) ? Même si ce n’était pas leur objectif au départ…
Ça serait assez ironique, ça, quand même… Parce que je ne vois pas de preuve plus « béton » que l’usage d’un VPN !
Est-ce qu’à ceux qui ne veulent pas être accusés de « négligence caractérisée », il va falloir leur installer un VPN ? Très sérieusement, je ne vois pas mieux… malheureusement pour la Hadopi.
C’est ce que j’en tire comme leçon…
L'adresse IP ça faisait Geek. En fait, y'a un nom de domaine correspondant à cette machine qui rend la chose encore plus triviale pour n'importe quel internaute:
http://update-cdt.nordnet.fr/
L'adresse IP ça faisait Geek. En fait, y'a un nom de domaine correspondant à cette machine qui rend la chose encore plus triviale pour n'importe quel internaute:
http://update-cdt.nordnet.fr/status
La web-console peut etre bloquée/désactivée sur le vhost "update-cdt" et pas sur le vhost par défaut (celui sur lequel tu peux tapper en rentrant l'IP directement) donc il faut tester les 2
Yop, encore une info marrante.
Heureux de te revoir
Et c'est quoi cette chose sur twitter ? On veut savoir !
Les identifiants pour accéder à la console web: admin/admin
Rien n'est fait car aujourd'hui c'est dimanche.
Et puis d'ailleur qui se dépécherais de réparer un truc qui ne servira a rien?
Demain, çà va être intéressant de voir la réaction de Nordnet, Orange, Albanel et les politiciens.
Soit c'est le black-out total : il ne s'est rien passé.
Soit c'est à cause "d'un problème informatique" comme pour le logo d'hadopi qui ne respectait pas le droit d'auteur
Soit Orange attaque les méchants pirates qui ont attaqués grâce à des navigateurs internet les gentis serveurs du noble Nordnet. Là j'ai peur qu'Orange réussisse à faire passer à la trappe leur incompétence avec un nuage de fumée médiatique qui consisterait à dénoncer l'internet non-civilisé qui attaque les entreprises françaises.
Je sens que ça va être une semaine très passionnante…