(3 vote(s), 
Loading...La faille dans le logiciel de sécurisation d'Orange n'est pas passée inaperçue sur la toile. Trois jours plus tard, j'interroge Orange qui a bien souhaité me répondre au sujet cette affaire.
Voici l'échange que j'ai eu avec le Community Manager Orange France.
A quelle date le serveur a-t-il été coupé ?
Le serveur a été coupé lundi 14 Juin (je n'ai pas l'heure exacte).
Combien d'abonnés ont-ils souscris à cette offre ?
"Nous avons enregistré une 20aine de souscription environ. Nous allons contacter ces abonnés afin de leur expliquer l'arrêt de l'offre et les aider à désinstaller le logiciel."
Il semblerait que le serveur a été coupé une première fois par Nordnet, puis remis en ligne quelques heures plus tard. Pourquoi avoir remis en ligne le serveur sans modifier les identifiants de connexion par défaut ?
"Les identifiants ont été modifiés très rapidement, et le serveur arrété lundi."
Concernant les failles corrigées : est-ce le processus de mise à jour du logiciel qui a été revu et corrigé ?
"Le logiciel est tout simplement retiré par principe de précaution."
Les identifiants par défaut du serveur (Jboss) sont quelque chose de suprenant de la part d'un opérateur de la taille d'Orange. Les causes de cette faiblesse ont-elles été identifiées ?
"Nous prenons vraiment au sérieux ces failles et les retours des experts en sécurité qui nous ont été remontés. Tout ces éléments seront intégrés afin d'éviter que ces erreurs ressurgissent."
Orange a démenti tout lien avec l'Hadopi mais d'après les sources du programme ainsi que le nom du serveur le mot "hadopi" apparaît clairement. Ce logiciel dit de sécurisation sera-t-il suffisant pour prouver à l'Hadopi son inncence en cas de soupçon ou détection par TMG ?
"Il est exact qu'une mention innaproprié d'HADOPI a été trouvée dans un dossier. Il s'agit d'un nom interne et non pas d'une connexion directe avec la Hadopi. Nous rappelons que ce logiciel de contrôle du téléchargement a pour seule vocation d’accompagner les internautes dans la maitrise des usages de leur accès internet."
Une grande partie des adresses IP des clients Orange utilisant ce logiciel de sécurisation se sont propagées à vitesse grand V sur la toile, et notemment au sein du projet Seedfuck qui injecte de fausses adresses IP dans les trackers torrent. Que penser de cette opération vis à vis de l'Hadopi, les risques sont-ils réels ?
"C'est encore un peu tôt pour que je puisse te donner des éléments précis de réponse. Ceci dit nos équipes étudient le sujet afin qu'aucun de nos abonnés ne soient affectés par d'eventuelles conséquences."
Les adresses IP des personnes s'étant connectées sur l'administration du serveur avec les identifiants par défaut ont-elles été mémorisées ? Si oui, allez-vous engager des poursuites ?
"Bien entendu nous ne poursuivrons pas les internautes qui nous ont signalés la faille. Cependant nous regarderons au cas par cas si des actions doivent être menés à l'encontre de personnes ayant effectués un usage malveillant des informations récupérés frauduleusement."
Que doit-on en déduire ?
Principalement que ce projet tombe à l'eau dans l'état ou il est. Orange attendra le cahier des charges de l'Hadopi pour réaliser (peut-être) une nouvelle version de son logiciel de sécurisation.
Le nombre d'abonnés (20) semble étonnement bas et si ce nombre est correct alors il y a eu beaucoup de bruit sur la toile pour "pas grand chose".
Quand au "nom interne hadopi", difficile d'y croire. Quoi qu'il arrive j'ai vraiment du mal à concevoir l'idée de payer pour avoir un service dégradé, bridé et filtré. Pourquoi Orange ne propose pas à l'inverse un forfait "spécial sérénité" à 5 euros de moins que le forfait de base en agissant en amont sur la QoS et le filtrage de paquets sur ses routeurs Cisco ? L'économie du forfait pourrait se dégager sur l'économie bande passante. En espérant que Orange n'en vienne pas à des forfaits limités en quota comme en Belgique, très efficace pour lutter contre le téléchargement mais beaucoup moins contre la vidéo (HD YouTube, Dailymotion...).
Une chose est sûre, Orange s'est offert une bien mauvaise publicité.
Merci à Orange et plus particulièrement à Lionel pour avoir répondu à mes questions.
16 commentaires
C'est pas avec cette interview qu'ils me feront gober que leur logiciel n'a aucun rapport avec Hadopi ...
"Nous avons enregistré une 20aine de souscription environ." > 20 pigeons...quand même.
"Il est exact qu’une mention innaproprié d’HADOPI a été trouvée dans un dossier. Il s’agit d’un nom interne et non pas d’une connexion directe avec la Hadopi." > mentir à ce point c'est quand même hallucinant ! La vérité est là, devant ses yeux, et il veut nous faire croire que chez Orange ils ont décidés de nommer HADOPI innocemment sans que ça n'ai de rapport avec la HADOPI. Dingue.
"Pourquoi Orange ne propose pas à l’inverse un forfait « spécial sérénité » à 5 euros de moins que le forfait de base en agissant en amont sur la QoS et le filtrage de paquets sur ses routeurs Cisco ?"
J'espère que tu plaisantes ?! ôÔ
Une atteinte à la Net Neutrality (quelle qu'elle soit) est inacceptable et constitue, dans tous les cas, une remise en cause inadmissible de l'essence même d'Internet !
Quant au filtrage des flux à l'aide du DPI que tu évoques c'est effectivement une solution en Iran ou en Chine pas sûr que ca soit de bon goût (même s'il en est fortement question dans Hadaubie) dans un pays qui se targue d'être un des phares de la démocratie et des droits de l'homme.
Bref l'Internet (business model minitel 2.0) by Orange qui confond p2p et atteinte au droit d'auteur, non merci ! :/
J'aimerai bien avoir l'avis des concurrents comme Free qui doivent bien rigoler...
"Il est exact qu’une mention innaproprié d’HADOPI a été trouvée dans un dossier. Il s’agit d’un nom interne et non pas d’une connexion directe avec la Hadopi."
Pourquoi, ici comme dans les interviews TV sur d'autres sujets, l'interviewer ne rebondit pas immédiatement devant une telle incongruité? Pourquoi ne réagit-il pas?
Hadopi a défrayé la chronique sur le net, mais on veut nous faire croire qu'il s'agit d'un nom interne sans rapport avec Hadopi, et ça passe tout seul aux yeux de l'interviewer...
@HP : si je n'ai pas rebondit c'est principalement car l'échange s'est fait au coup par coup par mail, et non en face à face. Et puis c'est tellement gros que...
Merci pour cet éclaircissement à propos de cet histoire avec Orange. Et je note surtout le gros flop de ce service et une certaine incompétence sur le coup.
Il semble y avoir beaucoup de mauvaise foi, pour le moins, de la part de l'interviewé ; une "vingtaine" de clients ; vous y croyez vraiment vous (pratique pour minimiser une affaire aussi importante). Le nom Hadopi par hasard dans le code ?
etc.
« Pourquoi Orange ne propose pas à l’inverse un forfait « spécial sérénité » à 5 euros de moins que le forfait de base en agissant en amont sur la QoS et le filtrage de paquets sur ses routeurs Cisco ? »
Cette idée est tout à fait incompatible avec la politique commerciale d'Orange pour une raison très simple. Orange possède une très grande partie des parts de marché du secteur et se maintient à la limite de l'abus de position dominante. Pas question dans ces conditions pour Orange d'augmenter le nombre d'abonnés. La seule marge de progression qui reste, c'est le coût du service: faire payer plus cher les abonnés existant en offrant (vendant) des services supplémentaires sur le réseau. Si on cherche un internet dégradé et moins cher, il ne faut pas le demander à Orange qui cherche, au contraire, a sélectionner ses abonnés pour augmenter la part de clients prêts à payer plus cher.
Pour ce qui est de ce service un peu minable, il faut savoir que, au sein d'Orange, le management cherche à réduire le Time to market (temps entre le moment où une idée est formulée et le moment où elle est en vente) dans un cadre aux structures décisionnelles lourdes et complexes. Au sein d'Orange, la hiérarchie n'est pas seulement hiérarchique, il y a aussi parfois des chaînes décisionnelles transverses et des relations de clientèle internes. Le TTM de France Télécom était jusqu'à présent en moyenne beaucoup plus long que celui de ses concurrents. Pour atteindre cet objectif, on crée parfois des raccourcit plus ou moins heureux.
Ce manager a une si belle langue de bois qu'il sera au moins sénateur, ou même président de l'UMP
"En espérant que Orange n’en vienne pas à des forfaits limités en quota comme en Belgique, très efficace pour lutter contre le téléchargement mais beaucoup moins contre la vidéo (HD YouTube, Dailymotion…)."
si les abonnements adsl sont (le plus souvent) limités en Belgique avec des quota au-delà desquels l'internaute doit payer un supplément au Gigaoctet téléchargé (upload et download confondus), des offres illimitées existent heureusement. Ces quotas ne limitent pas que le téléchargement (download de fichiers) : la consommation d'une vidéo regardée en streaming est aussi comptabilisée!(et ça peut très vite chiffrer en gos, surtout en HD!)
"Pourquoi Orange ne propose pas à l’inverse un forfait « spécial sérénité » à 5 euros de moins que le forfait de base en agissant en amont sur la QoS et le filtrage de paquets sur ses routeurs Cisco ? L’économie du forfait pourrait se dégager sur l’économie bande passante"
...jolie incitation à briser la neutralité du net! si venant d'un FAI ça se comprend (volonté de faire des économies sur le dos des usagers, de favoriser certains services au détriment de concurrents, sous prétexte d'éviter des engorgements du réseau), venant d'un internaute c'est un peu dommage : briser cette neutralité, c'est tuer internet comme nous le connaissons, et dériver vers une infrastructure de plus en plus passive, où l'usager consomme sans plus rien pouvoir produire... cf cette communication : http://www.numerama.com/magazine/13586-video-neutralite-du-net-liberte-d-expression-sur-internet-maj.html
au sujet des "20 pigeons" seulement : Jérémie Zimmerman de la quadrature du net a donné des chiffres fort différents (et semble-t-il de bonne source, lors de l'émission Place de la Toile (France culture, 18 juin 2010) sur le nombre d'IP relevées sur le serveur de la filiale d'Orange : 2000!
cf le podcast via : http://www.franceculture.com/emission-place-de-la-toile-sport-et-nouvelles-technologies-2010-06-04.html
la sécurité est et restera un problème pour tous, les développeur en herbe fourniront autant d'effort que les développeur de chez norton si vous voyez ce que je veux dire ^^
pour le projet hadopi : ou est passé la présomption d'innocence ? on devient présumé coupable ,on nous surveille alors que l'on paye un service ... il serai temps de réflexion-né un peu sur de nouveau moyen de faire du fric au de nous les briser .... le téléchargement gratuit avec pour moyen de rentabilisation la publicité ( avant on regardait un film,écoutait la radio, etc et on pouvait enregistré sur un support tel que les cassette a bande magnétique(certes pas la même qualité mais bon )
tout les moyens sont mis en œuvre pour pas grand chose (mise a part son cout )car rien ne changera mise a part que l'on aura 2 pc,un connecter web,l'autre pas et on partagera sur des réseau privé
pour en revenir a orange : arrêter de vous mettre la pression vous êtes cher comparer au autre fai et pi même pas fiable ( j'ai fait tout les opérateur principaux en téléphonie et ADSL)je vous conseille de fournir plus d'effort a offrir mieu et moins cher au lieu d'hadopi car vos client du moins leur nombre sont en chute libre en concurrence a des offre genre tout en un ideo ....vous gagnerez du temps de l'argent,et moins de dépression si vous voyez a quoi je fais allusion ^^