Il s'avère que ce dernier communique avec une adresse IP référencée dans le parc de Nordnet, filiale de France Télécom spécialisée dans les solutions de sécurité de type contrôle parental, qui opère pour le compte de l'opérateur ce logiciel de sécurisation, censé garantir pour 2 euros par mois qu'aucun accès aux réseaux P2P ne sera effectué depuis les machines du domicile de l'utilisateur.
L'information s'étant rapidement propagée dimanche après-midi, il n'a pas fallu longtemps pour que de facétieux internautes listent les adresses des supposés souscripteurs de l'option Contrôle du téléchargement d'Orange et envisagent de les injecter dans des solutions de type IPFuck, qui permettent de faire apparaitre les adresses IP de son choix sur les réseaux P2P. Du fait d'un logiciel de sécurisation mal sécurisé, les adresses IP censément incapables de se connecter à BitTorrent et consorts sont donc susceptibles d'être détectées par les prestataires chargés de faire la chasse au téléchargement illégal, qui viennent justement d'obtenir le feu vert de la Cnil pour débuter leurs activités ! « En clair, vous payez pour vous amputer d'une parcelle d'Internet avec un software susceptible de mettre votre propre sécurité en danger », résume Bluetooff.
L'export XML des données collectées facilitera la tâche de l'Hadopi... ou des amateurs de poisonning...
En se connectant au serveur en question, on arrive sur une page « statut » qui liste d'une part les IP ayant cherché à afficher la page et de l'autre, les IP des utilisateurs du logiciel. Cerise sur le gâteau : après que le service a semblé hors ligne dimanche soir, du fait sans doute d'un trop grand nombre de connexions, il est toujours possible lundi matin d'accéder à la console Web du serveur sous-tendant le service, celle-ci étant protégée par le couple login / mot de passe par défaut. De quoi entrainer de plus graves conséquences, si une personne mal intentionnée profitait par exemple de cet accès pour injecter du code au sein du client logiciel installé chez les particuliers. La bourde parait tellement énorme que certains se demandent s'il ne s'agit pas simplement d'un honeypot.
D'autres se sont rapidement engouffrés dans la brèche ainsi ouvertes et ont pu mettre au jour le lien qui semble unir le logiciel d'Orange à l'Hadopi. Dans la console Web du serveur Nordnet comme dans l'exécutable fourni à ses clients par l'opérateur est ainsi fait mention, à plusieurs reprises, d'un « HadopiTechnicalServlet » au nom évocateur (voir captures ici et là). Des mentions d'autant plus incongrues que les conditions d'utilisation du service proposé par Orange / Nordnet indiquent clairement que l'installation du logiciel ne garantit pas l'absolution en cas d'identification de l'adresse IP de l'abonné sur les réseaux P2P. Qu'est-il dont fait des informations envoyées par le client au serveur ?
