Orange : le logiciel de contrôle de téléchargement est retiré de la vente

Il s’est passé beaucoup de choses depuis dimanche dernier, je n’ai pas trop souhaité commenter quoi que ce soit tant qu’une réponse satisfaisante n’était pas apportée.

Aujourd’hui Orange a pris une décision courageuse dans un contexte particulièrement difficile. Dans un communiqué officiel, le fournisseur d’accès retire de sa boutique en ligne sa solution de contrôle de téléchargement.

Orange nous signale également que les données collectées par le dispositif n’étaient en aucun cas destinées à être transmises à la HADOPI. Elles restaient strictement chez le fournisseur d’accès. A ce sujet, je dois dire que même si j’ai eu des soupçons, je suis tout à fait disposé à croire Orange car je doute également que l’opérateur se compromette dans ce genre d’exercice de style qui serait une erreur sur les plans juridiques … et médiatiques.

Je voulais aussi vous parler du reverse du client lui même … Avec fo0 nous l’avons examiné, cherché à comprendre les motivations et ce que nous avons trouvé nous a plutôt rassuré. que vous dire sinon que je suis admiratif de la vitesse à laquelle ceci a été fait et de la qualité du billet posté sur fulldisclosure. L’exploit lui même est un modèle du genre, payload obfuscated, le packaging, la poésie Ruby… les personnes qui ont fait ça ne sont manifestement pas animées de mauvaises intentions, d’autres indices me poussent même à affirmer qu’il n’attaqueront pas et que cet advisory est à pur titre informatif… et ils sont définitivement trop doués pour être idiots.

Cependant, il faut être conscient qu’un risque subsiste pour les personnes qui ont installé le logiciel, Orange est en train de contacter la vingtaine de clients concernés depuis hier après-midi pour leur expliquer l’arrêt de l’offre et les aider à désinstaller le logiciel

  1. Si vous avez installé le logiciel, désinstallez le. Il est vulnérable à des attaques permettant d’exécuter du code malicieux.
  2. Si vous êtes abonné Orange et que vous recevez un mailing vous invitant à télécharger ce logiciel (même gratuitement), renvoyez aussitôt ce mail en pièce jointe avec ses en-têtes complets à [email protected] : il s’agit d’une tentative de phishing visant à infecter votre machine.

Mon sentiment profond, vous le connaissez surement. Ce genre de solution ne peut créer plus de sécurité pour les utilisateurs, l’histoire nous a maintes fois démontré le contraire. D’autres dispositifs existent, j’ai par exemple des soupçons de modules intégrés directement sur les DSLAM chez d’autres opérateurs… mais pas de preuves pour étayer cette hypothèse. J’espère simplement qu’ils auront l’honnêteté de communiquer sur le type de dispositif mis en place, les données collectées ainsi que leur traitement.

Pour conclure je retire un enseignement de tout ça qui me fait fait chaud au cœur, il y a une véritable communauté de hackers en France que je pensais morte. J’espère que les entreprises en prendront bonne note et tenteront de s’en rapprocher, pour ouvrir un dialogue sur les bons usages en termes de respect de la vie privée et de sécurité. Pourquoi ne pas par exemple nous donner tous rendez-vous pour le prochain Pas Sage en Seine ?

8 réponses sur “Orange : le logiciel de contrôle de téléchargement est retiré de la vente”

  1. "décision courageuse" ?
    C'était ça ou le fiasco s'étendait à la scène publique… Le choix est vite fait !
    Alors non, c'est pas courageux, c'était ça ou une mauvaise pub

  2. Un truc que j'aimerais bien savoir, c'est comment Orange va communiquer vers la 20aine d'abonnés pour leur demander de désinstaller leur bouse :-)… Un grand moment de baratin commercial sans doute!

  3. Objectivement, Orange ne fait pas preuve de courage mais plutôt d'une logique marketing. Étant donné la traînée de poudre il fallait éteindre la mèche. A croire qu'ils n'ont pas testé leur produit avant de le commercialiser, quel manque de professionnalisme. Si la pilule était passée, il ne se serait pas privé de le proposer aux clients de plus de 60 ans. Et voilà ce qui se serait passé:
    1/ Payer son abonnement chez Orange
    2/ Payer sa protection contre les méchants logiciels peer to peer
    3/ L'adresse IP lâchait en pâture
    4/ Réinjecter grâce à seedfuck sur le réseau
    5/ Recevoir sa lettre Hadopi
    C'est pas du bonheur en barre ça ?
    Avec ça, si vous restez toujours chez Orange. Ils détiennent 47% du marché, je ne comprends toujours pas pourquoi.
    Sinon plus personnellement, je trouve vraiment qu'ils abusent au niveau des services. Ils forcent les clients à prendre des choses qu'ils n'ont pas besoin (clé 3G, TV HD même si on n'en veut pas…). Par ailleurs, dés que l'on touche à un élément du contrat, ils remettent les compteurs à zéro pour l'engagement et vous êtes reparti pour un an sauf qu'ils omettent de vous le signaler. Ils osent même vous dire que c'est valable pour un déménagement alors qu'il est notifié exactement l'inverse dans leur contrat. C'est vraiment prendre les clients pour des cons et leur forcer la main.
    Un autre détail, certains se souviennent peut être du temps où l'on devait payer sa première minute de communication sur les portables. A l'époque Orange avait fait des encarts publicitaires énormes avec la typo Orange sur fond noir: "Nous sommes les premiers à vous offrir le décompte à la seconde". Sauf que ce n'était pas leur idée, c'était… une décision de justice qui a obligé les 3 opérateurs à faire le décompte à la seconde qui existait depuis des années dans les autres pays européens. Détourner ceci en slogan publicitaire, c'était audacieux. Mais c'était surtout encore une fois prendre les clients pour des cons. Alors entendre "honnêteté" à côté du mot "Orange", je suis désolé mais ça a du mal à passer pour moi.

    1. Votre commentaire soulève plusieurs questions, j'hésite à écrire un billet pour essayer de donner mon point de vue là dessus. En tout cas vous mettez le doigt sur des problèmes bien réels pour l'opérateur et sur la nécessité pour lui de reconquérir une jeune clientèle.

    2. En parlant du "marketing" Orange, il y a quelques mois, l'ARCEP les avait critiqué (avec une mise en demeure, il me semble) en disant qu'ils ne couvraient que XX% de la France en 3G alors que ça devrait être plus… Orange a fait quoi ? Une pub pour dire : "L'ARCEP confirme que nous couvrons XX% de la France en 3G, ouais, on est les meilleurs !"

      Désolé si mes propos sont vagues, je me rapelle plus trop des détails de l'affaire, mais l'idée est là : faire de la pub pour transformer un truc mal en truc censé être bien…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.