Nouvelle faille de sécurité sur le logiciel Hadopi d'Orange

Publié le par Philippe

Peer-to-Peer -

Avec son logiciel de blocage du Peer-to-Peer à 2 euros par mois, Orange a déjà inventé le "payer plus pour avoir moins". Mais l'opérateur aurait-il aussi inventé le logiciel de sécurisation qui compromet la sécurité ?

Ceux qui se frottent avec complaisance à l'Hadopi savent pourtant que tout ce qu'ils font est inspecté sous les moindres coutures. Un lecteur nous a fait parvenir une alerte de sécurité envoyée sur Full-Disclosure, une liste de diffusion anglophone dédiée à la révélation des vulnérabilités informatiques, à propos du logiciel anti-téléchargement d'Orange. Ce dernier a déjà subi ce week-end une humiliation après la révélation d'une faille qui a permis de divulguer les adresses IP de ses utilisateurs (abusivement qualifiée d'intrusion informatique par Orange), mais c'est cette fois la sécurité des utilisateurs du logiciel qui est mise en cause.

Le hacker, qui se présente sous le pseudonyme provocateur de "cult of the dead HADOPI", affirme code source à l'appui qu'il est possible de compromettre la sécurité d'un ordinateur sur lequel le logiciel est installé. En étant simple utilisateur, il serait possible d'exploiter une faille de sécurité pour avoir accès aux privilèges de niveau système, et exécuter n'importe quel code, à la manière d'un rootkit.

La faille se trouverait dans la canalisation entre deux threads lancés par le logiciel d'Orange. Le premier composant cdtsvc(64).exe est décrit comme un service Windows enregistré, qui a la charge d'inspecter tous les nouveaux logiciels lors de leur lancement, pour bloquer l'exécution des logiciels de P2P identifiés. Le deuxième composant, Cdtgui.exe, est quant à lui un outil de configuration qui permet de gérer les paramètres du service, et qui est protégé par un mot de passe. Mais selon le hacker, le canal de communication entre les deux composants n'est pas protégé, de sorte de qu'il serait possible de passer des ordres au service de niveau système sans le mot de passe de l'outil de configuration. 

The  cult of  the dead  HADOPI was hoping this software designed to protect the French citizen  from illegal downloading, designed to give real offensive capacities to the  French government, would at least be secure.

It is not.

We retrieved some of the commands one can send to the named pipe:
 - 1002: check password
 - 1006: set password
 - 1007: get secret question
 - 1009: check if an update is available
 - 1010: ask for an update
 - 5000: enable/disable the "protection"
 - 5002: get history
 - 5003: get updates history
 - 5004: change the configuration

The  5004 order  is really  interesting:  it can  modify the  internal configuration (proxy host and  port, updates server address, answer to the secret question, licensed state).

A  local user  with  no  privilege can  communicate  with the  service through  the named  pipe,  change  the configuration  to  use a  proxy server. Then,  the evil bastard  will request an update.   The request will arrive on the proxy, and the proxy will serve a backdoor (OMG!)

Le logiciel autorisant la configuration d'un serveur proxy, il serait possible pour un hacker malveillant d'obliger le logiciel d'Orange à passer par un proxy configuré pour envoyer un mauvais fichier de mise à jour des signatures de logiciels P2P à bloquer. Lors des mises à jour, le service enregistré par le logiciel chercherait en effet à télécharger sur le serveur de Nordnet un fichier .exe compressé, qu'il décompresse dans un dossier temporaire avant de l'exécuter sans aucune vérification. Les mises à jour n'étant pas signées, n'importe quel code pourrait être exécuté avec les privilèges système.

Un hacker qui prendrait le contrôle du serveur de mise à jour pourrait aussi envoyer un code dont aucune signature ne sera vérifiée, et infecter alors l'ensemble des clients utilisateurs du logiciel d'Orange.

Le hacker diffuse dans son message le code source d'un proxy, configuré pour envoyer une mauvaise mise à jour. De manière plus anecdotique, il diffuse aussi le code source d'un keygen permettant de générer une clé d'utilisation du logiciel.

Il prévient par ailleurs qu'il n'a pas encore tout dit sur ses découvertes.

Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com

Publié dans Polémique

Commenter cet article

esperance27.over-blog.com 19/06/2010 09:44



Coucou!!


L'argent est entrain de porrir ce monde,nous n'en sommes plus dûpes!!


Bonne et douce journée


Amitiés:CLAIRE



Philippe 20/06/2010 10:58



c'est la triste verité



treintafouire 18/06/2010 16:40



trop fort Orange



Philippe 20/06/2010 10:56



;)



Le Mousquetaire des Mots 17/06/2010 08:43



A force de vouloir empocher toujours plus d'argent, les entreprises n'hésitent plus à se précipiter, confondant tout, savoir-faire, technicité, rapport
qualité-prix et surtout dividendes potentiels. Rien ne m'étonne dans cette affaire : il y a du grain à moudre, donc le plus rapide est certain de l'emporter.


Quand je dis que l'argent rend fou...



Philippe 20/06/2010 10:56



Là c'est vraiment du foutage de gueule ! Une loi qui ne sera même pas appliqué par son obsolescence et son coût !!!