(modifié le 23 mars 2013 à 15:07)

La faille dans le logiciel de sécurisation d'Orange n'est pas passée inaperçue sur la toile. Trois jours plus tard, j'interroge Orange qui a bien souhaité me répondre au sujet cette affaire.

Voici l'échange que j'ai eu avec le Community Manager Orange France.

A quelle date le serveur a-t-il été coupé ?
Le serveur a été coupé lundi 14 Juin (je n'ai pas l'heure exacte).

Combien d'abonnés ont-ils souscris à cette offre ?
"Nous avons enregistré une 20aine de souscription environ. Nous allons contacter ces abonnés afin de leur expliquer l'arrêt de l'offre et les aider à désinstaller le logiciel."

Il semblerait que le serveur a été coupé une première fois par Nordnet, puis remis en ligne quelques heures plus tard. Pourquoi avoir remis en ligne le serveur sans modifier les identifiants de connexion par défaut ?
"Les identifiants ont été modifiés très rapidement, et le serveur arrété lundi."

Concernant les failles corrigées : est-ce le processus de mise à jour du logiciel qui a été revu et corrigé ?
"Le logiciel est tout simplement retiré par principe de précaution."

Les identifiants par défaut du serveur (Jboss) sont quelque chose de suprenant de la part d'un opérateur de la taille d'Orange. Les causes de cette faiblesse ont-elles été identifiées ?
"Nous prenons vraiment au sérieux ces failles et les retours des experts en sécurité qui nous ont été remontés. Tout ces éléments seront intégrés afin d'éviter que ces erreurs ressurgissent."

Orange a démenti tout lien avec l'Hadopi mais d'après les sources du programme ainsi que le nom du serveur le mot "hadopi" apparaît clairement. Ce logiciel dit de sécurisation sera-t-il suffisant pour prouver à l'Hadopi son inncence en cas de soupçon ou détection par TMG ?
"Il est exact qu'une mention innaproprié d'HADOPI a été trouvée dans un dossier. Il s'agit d'un nom interne et non pas d'une connexion directe avec la Hadopi.  Nous rappelons que ce logiciel de contrôle du téléchargement a pour seule vocation d’accompagner les internautes dans la maitrise des usages de leur accès internet."

Une grande partie des adresses IP des clients Orange utilisant ce logiciel de sécurisation se sont propagées à vitesse grand V sur la toile, et notemment au sein du projet Seedfuck qui injecte de fausses adresses IP dans les trackers torrent.  Que penser de cette opération vis à vis de l'Hadopi, les risques sont-ils réels ?
"C'est encore un peu tôt pour que je puisse te donner des éléments précis de réponse. Ceci dit nos équipes étudient le sujet afin qu'aucun de nos abonnés ne soient affectés par d'eventuelles conséquences."

Les adresses IP des personnes s'étant connectées sur l'administration du serveur avec les identifiants par défaut ont-elles été mémorisées ? Si oui, allez-vous engager des poursuites ?
"Bien entendu nous ne poursuivrons pas les internautes qui nous ont signalés la faille. Cependant nous regarderons au cas par cas si des actions doivent être menés à l'encontre de personnes ayant effectués un usage malveillant des informations récupérés frauduleusement."

Que doit-on en déduire ?

Principalement que ce projet tombe à l'eau dans l'état ou il est. Orange attendra le cahier des charges de l'Hadopi pour réaliser (peut-être) une nouvelle version de son logiciel de sécurisation.

Le nombre d'abonnés (20) semble étonnement bas et si ce nombre est correct alors il y a eu beaucoup de bruit sur la toile pour "pas grand chose".

Quand au "nom interne hadopi", difficile d'y croire. Quoi qu'il arrive j'ai vraiment du mal à concevoir l'idée de payer pour avoir un service dégradé, bridé et filtré. Pourquoi Orange ne propose pas à l'inverse un forfait "spécial sérénité" à 5 euros de moins que le forfait de base en agissant en amont sur la QoS et le filtrage de paquets sur ses routeurs Cisco ? L'économie du forfait pourrait se dégager sur l'économie bande passante. En espérant que Orange n'en vienne pas à des forfaits limités en quota comme en Belgique, très efficace pour lutter contre le téléchargement mais beaucoup moins contre la vidéo (HD YouTube, Dailymotion...).

Une chose est sûre, Orange s'est offert une bien mauvaise publicité.

Merci à Orange et plus particulièrement à Lionel pour avoir répondu à mes questions.

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter