Comme prévu, pourrait-on dire, les indiscrétions du programme de « surveillance » Hadopi commercialisé 2€ par mois par Orange a fait les frais d’un décorticage détaillé. de la part d’une équipe connue sous le nom de « Cult of the dead Hadopi ». Une analyse de l’analyse est aimablement fournie par Cédric Blancher, lequel nous apprend qu’il y a dans ce code-là de la graine de botnet (pas d’authentification du code expédié par le serveur central, possibilité de prise de contrôle à distance via un proxy de « détournement »), botnet lui-même fortement envisageable compte-tenu des faiblesses de l’infrastructure elle-même. Et ce n’est qu’un début, précise le Cult of the Dead Hadopi… il y a encore du potentiel dans ce programme-là.
Un logiciel de protection possédant tout ce qu’il faut pour fabriquer un botnet et compromettre des milliers de machines, le tout payé avec l’argent des victimes consentantes sous le douteux prétexte de veiller à la bonne santé financière d’un quarteron de marchands de musique essentiellement de variétés …. Cela ne rappelle-t-il rien aux habitués de la sphère sécurité ? Mais oui, bien sûr… le « botnet Sony BMG » qui valu à ses auteurs une place méritée sur Wikipedia. Qui donc, après un tel exploit (au sens « sécurité informatique » du terme) osera reprendre le flambeau et envisager de se lancer dans le négoce des hadopiciels sans craindre un « reverse engineering » ravageur ?
Et c’est sans parler de l’atteinte à l’image de marque. Les persifleurs auront beau jeu de demander à Orange (le FAI) si les offres de services « antivirus en ligne » protègent efficacement contre leurs propres productions internes… Les maraîchers de la Rue Saint Denis vanteront la qualité de leurs agrumes « garantis sans pesticides ni virus »… les truands entre eux en plaisanteront : « Si jamais tu te fais serrer, on t’apportera des clémentines… parce que les oranges, par les temps qui courent… ». Nos confrères des hebdos du Mercredi sombreront dans la facilité et titreront « Orange, Oh désespoir ! »… Quand aux journalistes de la presse spécialisée, il s’en trouvera bien un ou deux pour se demander si la LCEN ne pourrait être appliquée dans toute sa rigueur. Car après tout, cette branche de l’Opérateur Historique Français ne s’est-elle pas rendue coupable de « faire publicité », de diffuser, de détenir, de commercialiser un outil pouvant manifestement porter atteinte à des systèmes d’information ? La balle est dans le camp de Maître Eolas.
Cet esprit de sel mis à part, et en faisant abstraction des « dommages collatéraux » qu’auraient pu occasionner ce programme bâclé et dangereux, on peut se demander si la logique d’entreprise et la notion de recherche de profit n’est pas incompatible avec les impératifs de l’appareil d’Etat.
Peut-on conclure que l’application d’une loi sotte ne peut engendrer que des sottises ? Que l’hypothèse que nous soulevions le 15 juin dernier se confirme ?–à savoir que le business model d’un Hadopiciel géré par des entreprises privées fait que ladite entreprise n’a aucun intérêt à voir disparaître les pirates puisqu’ils constituent le terreau d’un fond de commerce profitable. Que toute extension Européenne d’un équivalent d’Hadopi (Acta notamment) aura des conséquences probablement semblables… mais à l’échelle Européenne, donc d’une gravité bien plus grande encore.
Mais ce qui fut le plus riche d’enseignements dans cette triste histoire, c’est la source même de cette révélation, ainsi que le médium qui a permis que l’information circule. C’est grâce à l’activité, à la vigilance de la liste Full Disclosure, que beaucoup voudraient voir disparaître, qu’une telle menace a pu être exposée au grand jour. C’est grâce à cette liberté de parole qui a encore droit de cité dans certains pays étrangers que le danger a pu être écarté. C’est grâce au travail d’un petit groupe qu’un « grand groupe » a dû faire machine arrière et reconsidérer l’opportunisme de son action.
1 commentaire