(3 vote(s), 
Loading...C'est Olivier Laurelli (plus connu sous @bluetouff et à qui nous souhaitons un bon retour dans la blogosphère IT après avoir été victime d'une attaque DDoS) avec @fo0_ qui a eu l'idée d'analyser les échanges avec le logiciel de "sécurisation" proposé par Orange.
Ils n'ont pas été déçus par leurs découvertes.
Edit 2 : Orange répond à mes questions sur ce sujet sensible
Edit 1 : je vous invite à lire la suite chez PCI avec la code source brut de l'exécutable qui montre d'autres nouveautés... toujours aussi surprenantes !
Le logiciel d'Orange communique avec un serveur de Nordnet (filiale de France Telecom et créatrice du soft) sur lequel est hébergée une page donnant accès à une liste de centaines d'adresses IP qui correspondrait à ceux qui se sont connectés au serveur (voir lien dans ce billet) et ceux qui payent deux euros et utilisent le logiciel d'Orange.
D'après le blog Bluetouff il s'agit d'un serveur JBoss dont les identifiants d'administration n'ont pas été changés (admin / admin), se qui se traduit par un suicide sécuritaire. Le logiciel d'Orange exécutant du code à distance (dont le rôle n'a pour l'instant pas été identifié) on comprend vite qu'une personne mal intentionnée puisse modifier le code arbitraire diffusé sous forme de mise à jour. De quoi monter un réseau de botnet en quelques heures, voler des données, mots de passes et effectuer des actions non réversibles...
Nordnet a réagi dans un premier temps plutôt rapidement en coupant le serveur, malgré les copies des listes d'adresses IP qui circulent déjà sur la toile. Et puis, sans raison le serveur est de nouveau en ligne depuis quelques heures, sans qu'aucune modification n'ait été apportée sur la sécurité de celui-ci ! Plutôt étrange.
Dans le doute et dans le cas où il s'agirait d'un honeypot il est vivement recommandé de ne pas essayer de se connecter sur ce serveur puisque c'est assimilable à une tentative d'intrusion d'un système informatique (même si les mots de passe par défaut n'ont pas été modifié).
On se souvient de la pub "internet... internet". A quand le remake "vie privée...vie privée" ?
11 commentaires
"Tentative d’intrusion d’un système informatique", Elle est bien bonne celle là. C'est comme laisser ouvert sa voiture avec une affiche, allez y volez moi, les clés sont dessus.
@wak : oui, au même titre que de se connecter sur un réseau WiFi non sécurisé. Peu importe la sécurité, si tu n'as pas le droit de t'y connecter en fait. Si on te vole ta voiture et que tu as laissé les clés dessus la personne sera réprimandée, même si tu as laissé tes clés volontairement sur ta voiture (ton assurance va peut-être gueuler par contre mais c'est une autre histoire).
cf : http://www.murielle-cahen.com/publications/p_intrusion.asp
Oups j'étais passé outre cet article !
En tout cas chapeau bas à Orange pour sécuriser son serveur car utiliser un ID et un MDP par défaut qui est très simple faut le faire ...
Dans les grosses entreprises ça arrive tout le temps, ils ont du penser qu'un certain Roger aurait changé le password, mais Roget pensait que c'était Pierre et Pierre lui pensait que c'était Damien qui s'en occuperai.
incroyable cette histoire, j'en ai aussi entendu parler sur Korben.info, je trouve complètement fou que ds boites aussi puissante qua ca fasse des erreur aussi débile que ca.... quel monde !
Orange a finalement fini par retirer son logiciel, ouf!
@Michael : hey t'es revenu ! welcome back
Les groupes rock dénoncent ces histoires sur les droits : http://www.dailymotion.com/video/xox1zi_les-rois-de-la-suede-ta-liberte-de-voler_parniak Bien vu, vous trouvez pas ?