Orange vous sécurise … ayez confiance !

Si une personne d’Orange pouvait me contacter SVP… il y a un très gros problème avec votre web-console, oui oui … celle du mouchard HADOPI…

EDIT : il semble que Orange et Nordnet aient rapidement réagi, c’est à porter à leur crédit.

On savait que le soft de sécurisation HADOPI allait être un moment bien rock’n roll,et bien voilà, c’est fait ! Les ip de ses clients sont accessibles sur le Net, ça donne vraiment envie qu’Orange vous « sécurise » non ? Il manque plus qu’un OpenOffice en remote et on est blindés 😉

Le logiciel proposé à la vente par Orange est sensé vous prémunir de l’utilisation de logiciels susceptibles de vous valoir les foudres de la HADOPI. En clair, vous payez 2 euros pour ne plus avoir le droit d’utiliser un logiciel P2P, même si ce que vous souhaitez télécharger est légal. En soit le concept est assez crétin. Mais là, le comble c’est la mise en place. Le logiciel communique avec un serveur distant, un servlet java en fait situé sur l’ip 195.146.235.67. Tout transite en clair, et tout est PUBLIC… on a même les IP des clients qui ont activé et acheté ce soft, comme les ip des simples visiteurs de cette page qui va devenir culte.

Pour obtenir l’ip de ce serveur, nous avons « sniffé » les sorties de ce soft avec Wireshark sur notre propre réseau local, du coup, nous n’avons pas eu trop de mal à trouver ce servlet… très drôle non ? C’est pas ça une négligence caractérisée ?

Toujours à propos du soft de « sécurisation » Hadopi par Orange, et surtout du servlet distant, il y a bien pire… un truc ahurissant nous a été signalé sur Twitter, mais nous ne le publierons pas…

96 réponses sur “Orange vous sécurise … ayez confiance !”

  1. ToYonos .. c'est bien ça que j'évoque, désolé tu es le premier commentaire que je censure sur ce blog 🙁
    Je ne peux pas publier ça j'espère que tu me comprendras.

  2. @bluetouff tu fais du teasing 😀 "un truc ahurissant nous a été signalé sur Twitter" (p.s. y'a une faute d'orth sur un er-é dans l'article)

  3. Bien joué, mais qu'es que ce piti logiciel dit au servlet ? ils parlent pas de la pluie et du beau temps j'espère ^^

    1. Ca on a pas le droit de le savoir, les conditions d'utilisation de ce soft l'interdisent. En clair Orange joue la "sécurité" par l'obscurantisme. On sait que c'est une mauvaise pratique mais ça ne semble pas les déranger.

      1. ha ouai quand même ^^
        Sa transite en clair, mais tas pas le droit de rgarder ….

        le cryptage, c'est pas fait pour faire joli …..

  4. Ce qui me chiffonne c'est qu'il y ait des IP "client" de tous les opérateurs dans le listing (Free, NC et autres).
    Pour un servlet qui collecte des données issues de cette espèce de capote trouée à 2€/mois théoriquement accessible qu'aux abonnés Orange (les chanceux) c'est étrange…

    1. C'est qu'il y a aussi les ip des gens qui sont connecté sur la partie web et qui regardent, et la t'est pas obligé d'être orange pour aller voir les failles de sécuritée …

      1. Nombreuses IPs de chez Free, Neuf, pas mal chez Orange, Googlebot, Amazonaws, des IPs de Belgique, Suède, Suisse, Japon, Etats-Unis…

  5. Welcome back mister Bluetouff !!

    En pleine forme à ce que je vois !

    Je sens qu’on a pas fini de rigoler avec HADOPI.

    A part cela, je me demande comment expliquer à une clientèle de particuliers, que ce truc c’est de la daube, qu’il faut pas s’en servir, et que même si on s’en sert, ça ne protège pas, au contraire !

    Comment voulez vous que le pékin moyen comprenne quoi que ce soit ?

  6. En fait, Orange a décidé de faire un geste commercial en offrant gracieusement les IP de tout le monde afin d'éviter que nous utilisions IPfuck ou Seedfuck…

    1. LOL Psycoyote !

      Welcome back bluetouff !

      PS : pourquoi ya que les mecs d'Orange mobile qui m'appellent? je rève d'avoir un commercial Orange Internet qui essaie de me vendre cette option… :'(

  7. je suis pas alle sur web-console jouer avec, mais me dites pas qu'ils ont laisse le mot de passe par defaut du user "admin" de JBoss quand meme!

          1. Donc voilà, oui le mot de passe du web admin JBoss était bien celui par défaut…

            Login: admin, mot de passe: admin.

            … et c'est bien moche.

          2. Incroyable !!

            C’est assimilable à une faute professionnelle, non ?

  8. Je viens de réaliser, faudrai pas que des gens mettent cette liste dans des softs tels que seedfuck et companie.

    Sa fait peur :s

    1. A mon avis, c'est déjà fait. Ces pauvres IP seront les premières victimes collatérales de la guerre déclenchée par Hadopi.

  9. Argh, raté, j'aurais bien aimé y allé 🙂 .

    Comme quoi ils ont voulu aller le plus vite possible et faire peur, alors que c'est eux le danger :D.

    PS : Je me demande encore comment des gens peuvent se foutre à ce point de la sécurité (mais pour les mots de passe par défaut c'est aussi à cause de JBoss :(, et les trucs en clair il y en a des tonnes qui circulent (facebook, toussa, ne sont pas en https 😀 :D).

    PPS : Vous avez mis quelle date pour les premiers mails de l'HADOPI ?

  10. Ca parait trop gros , status servlet accessible web-console non protegee
    ca pue l'honeypot.
    Ils se sont surement dit , notre mouchard c'est bien pour l'abonne lambda qui achete un PC sous WIndows sans reflechir, comment va t'on pieger les plus geeks sur Linux et Mac.
    La reponse ..c 'etait aujourd'hui… Il suffit d'un qui rentre dans la breche pour que tout le monde suive… bongo, jackpot dans les logs de JBoss ce soir.
    dans status on voit passer des IP des curieux sur la web-console
    Quelque part dans les fichiers de log ils auront ceux qui surveillaient via la StatusServlet.

    A ton avis, que vont ils faire de ces IP?

    1. La même chose qu'avec les ip qui se connectaient à une époque en telnet sur les livebox en root avec le pass 1234 au pif ? non ?
      Plus sérieusement, récupérer les ip qui se sont connectées sur une page qu'ils ont laissé publique (et la je parle pas de l'admin hein) ça ne va pas leur servir à grand chose. Du coup je crains fort que non ce ne soit pas du tout un honeypot et qu'il y ai bien eu une boulette de config quelque part.

  11. possible soit grosse erreur de config (mais ils ont des bleus chez Orange qui connaissent rien a Jboss, ou oubli apres mise en prod trop rapide pour engranger ces 2euros /mois )
    Soit c'etait voulu…

  12. Content de ton retour Bluetouff (j'en avais un peu marre d'être "perdu sur le net" !!! :p)… Du coup t'es plus hébergé en Suède ???

  13. Hardy as tu seulement tenté de reverse le client proposé par Orange ? As-tu seulement essayer de dump les requêtes vers le serveur que tu considères comme un Honeypot ?
    Si oui c'est avec plaisir que je comparerai tes datas aux miennes . En attendant et vu ce que j'ai et que l'ont m'a fournis, tout me laisse à penser que c'est un serveur d'auth qui permet non pas d'update mais de compléter le binaire avec les fonctions qui lui manque (volontairement).
    Amicalement

  14. Pour ceux qui veulent pouvoir arreter le service sans tout désinstaller (quand on change la configuration du service ou quand on kill le process, le process se relance et réinitialise la config),
    créer une clé dans la BDR :
    HKLMSYSTEMCurrentControlSetServicescdtsvc , clé "DefaultAction", valeur : 128

  15. fo0
    1. je ne suis pas chez Orange
    2. j'ai pas eu le client d'Orange
    3. je ne suis pas sur WIndows et j'evite meme de le virtualiser.
    4. j'ai recupere des traces pcap qui ont circule.
    5. je me suis connecte a la servlet Status de JBoss

    J'ai suivi l'affaire via Bluetouff dans l'apres midi. Ca se suit aussi bien que les amours du petit Nico et Carlita dans Voici et glagla;-)
    Tout d'abord respect a cette investigation autour du client d'Orange et de leur serveur.
    D'apres les quelques traces vues, le serveur serait interroge par le binaire client sur des softs autorises ou non?
    Je laisse les specialistes a parler a ce sujet.

    Honeypot simplement car ca me parait tres gros que leur app server JBoss soit pas securise… c'est pour ca que je pensais que ca pouvait etre volontaire…
    Amicalement

  16. Hardy pas de soucis et ma réponse n'était pas agressive mais si quand je la relis, et je l'avoue limite… Sans doute des restes d'un truc précèdent :).Pour le pcap que tu as vu c'est le mien.
    Et hélas, je crains vraiment que cela soit involontaire et digne d'un grand chef de projet de chez ….. cette énorme boulette. Mais heureusement pour eux les vilains d'Internet sont là pour les aider ::)

  17. Pourquoi "il semble que Orange et Nordnet aient rapidement réagi, c’est à porter à leur crédit." moi je peux encore accéder à l'interface administration et aux logs IP ?

    1. ARRRGGGH !
      Le serveur était indisponible un moment j'ai cru qu'ils l'avaient éteint pour maintenance 🙁
      Ce n'est visiblement pas le cas ☠☠☠

  18. Et j'ai remarqué des personnes connectées à la console qui transferent beaucoup de fichiers. Très louche non???

  19. J'aime bien les identifiants d'accès de la web console… ça donne l'impression de faire du high-level hack ^^…

  20. Et si il ne servait effectivement qu'a vérifier les abonnements et la version du soft ?

    <servlet-name>HadopiTechnicalServlet</servlet-name>
    <display-name>HadopiTechnicalServlet</display-name>
    <description>Servlet used by standalone applications to perform updates and check licenses</description>
    <servlet-class>com.nordnet.hadopi.ws.technical.HadopiTechnicalServlet</servlet-class>

    http://195.146.235.67/web-console/WebModule.jsp?O

      1. Non j'aurais tendance à dire qu'ils l'ont appelé "HadopiMachin" parce que ca a été développé dans ce cadre (et probablement très à la rache).
        Et du coup les messages que tu as chopé avec Wireshark seraient probablement des "est-ce que l'abonné a bien payé ses deux euros" (si oui on lui coupe le net sinon on le laisse utiliser ses softs… la bonne blague).

        Quoiqu'il en soit ca n'excuse en rien l'amateurisme total que sent cette affaire (ca doit être un député lui même qui a monté le serveur…)

  21. Qu’est-ce qu’il faut en tirer comme conclusions ?

    Qu’il n’y a que l’usage d’un VPN (un tunnel, quoi) qui pourrait servir de preuve pour se défendre en cas d’accusation (par la Hadopi) ? Même si ce n’était pas leur objectif au départ…

    Ça serait assez ironique, ça, quand même… Parce que je ne vois pas de preuve plus « béton » que l’usage d’un VPN !

    Est-ce qu’à ceux qui ne veulent pas être accusés de « négligence caractérisée », il va falloir leur installer un VPN ? Très sérieusement, je ne vois pas mieux… malheureusement pour la Hadopi.

    C’est ce que j’en tire comme leçon…

  22. La web-console peut etre bloquée/désactivée sur le vhost "update-cdt" et pas sur le vhost par défaut (celui sur lequel tu peux tapper en rentrant l'IP directement) donc il faut tester les 2

  23. Rien n'est fait car aujourd'hui c'est dimanche.
    Et puis d'ailleur qui se dépécherais de réparer un truc qui ne servira a rien?

  24. Demain, çà va être intéressant de voir la réaction de Nordnet, Orange, Albanel et les politiciens.

    Soit c'est le black-out total : il ne s'est rien passé.

    Soit c'est à cause "d'un problème informatique" comme pour le logo d'hadopi qui ne respectait pas le droit d'auteur

    Soit Orange attaque les méchants pirates qui ont attaqués grâce à des navigateurs internet les gentis serveurs du noble Nordnet. Là j'ai peur qu'Orange réussisse à faire passer à la trappe leur incompétence avec un nuage de fumée médiatique qui consisterait à dénoncer l'internet non-civilisé qui attaque les entreprises françaises.

    Je sens que ça va être une semaine très passionnante…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.