CERT-XMCO : Orange et son logiciel anti-P2P mis à mal, la suite
juin 2010 par CERT-XMCO
* Un HADOPIciel qui aurait pu tourner au botnet...
– Date : 16 Juin 2010
– Plateforme : Windows
– Gravité : Elevée
– Description :
Après avoir subi, ce week-end, des attaques ayant permis à des cybercriminels d’accéder à certaines informations sensibles contenues sur un serveur mal sécurisé (voir CXA-2010-0742), c’est au tour du logiciel proposé par Orange pour la modique somme de 2 euros d’être décortiqué.
Pour rappel, le service offert par Orange avec ce petit utilitaire est censé protéger un ordinateur contre le téléchargement (illégal ou non) en pair-à-pair.
Des "pirates" ont publié hier soir un message intitulé "Patriotic botnet with Orange’s HADOPI software" sur la liste de diffusion "Full-Disclosure". Ces personnes ont réalisé une analyse du programme fourni par Orange, et ont présenté l’ensemble des résultats.
D’après ces chercheurs, le programme, ainsi que l’infrastructure au sein de laquelle il prend part, serait réellement dangereux. Un réel pirate réussissant à compromettre un serveur, comme cela a été fait ce week-end, aurait à sa disposition un véritable botnet. Le serveur est en effet capable de pousser des exécutables vers ses clients, afin par exemple de mettre à jour le logiciel. Néanmoins, comme certaines vérifications ne sont pas faites (signature des fichiers entre autres), il est très simple d’installer avec les privilèges SYSTEM n’importe quel binaire.
La protection du logiciel par mot de passe a aussi été contournée.
Dans son ensemble, ce produit correspond plus aux caractéristiques d’un malware que de la partie logiciel d’un service vendu par le plus gros opérateur français...
– Référence :
http://seclists.org/fulldisclosure/2010/Jun/346
http://sid.rstack.org/blog/index.php/415-un-hadopiciel-qui-aurait-pu-tourner-au-botnet
http://sid.rstack.org/blog/index.php/413-hadopi-et-orange-unis-pour-le-pire
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0742
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0754