Le honeypot de TMG
Les p'tits trous, les p'tits trous...
C’est tellement énorme que c’est à se demander si TMG n’est pas récemment devenu une filiale de Sony, ou si ce que vous allez découvrir n’est pas un honeypot. A tout hasard, et vu qu’il y a quand même un paquet d’IP, nous n’allons pas faire tourner l’adresse de cette machine. Voilà en gros ce qu’on trouve de croustillant, il y a tout ce qu’il faut pour comprendre comment TMG procède et même plus :
- un exécutable,
- un password en clair dans un file de config
- des hashing torrent des oeuvres surveillées pour piéger les internautes partageurs,
- les scripts de traitement des logs,
- les ip des connectés aux peers etc etc…).
Nous allons donc, de manière responsable, laisser TMG corriger ce qui ressemble quand même vachement à une négligence ultra caractérisée.
Le serveur ne présente strictement aucune protection tout est accessible, à portée de clic, c’est noël avant l’heure. Encore du grain à moudre pour les parlementaires qui s’inquiétaient qu’une société privée se voit confier une mission de monitoring de population et manipuler des quantités non négligeables de données personnelles sans contrôle sérieux.
Rappel : TMG, Trident Media Guard est une société privée mandatée par les ayants-droit pour relever les adresses IP des internautes en infraction sur les réseaux P2P.
Houston appelle la CNIL… répondez ! Allo la CNIL, we’ve got a problem !
EDIT : 15/05/2011 : Fuites de données de TMG : l’Hadopi prend l’affaire « très au sérieux » (Numérama)
Le screen ci-dessous : c’est la RACINE du serveur web.
Et un autre petit screen pour les sceptiques
Voici maintenant ce qui ressemble à une liste de hashs d’oeuvres surveillées par TMG (le fichier est très fréquemment updaté et contient 1851 hashs)
Greetz BH pour la trouvaille 
Billets en relation :
232 
S'abonner
Si vous avez apprécié cet article, abonnez vous gratuitement pour ne plus rien manquer.
« Full disclosure policy »
oooh le joli fichier torrents
ça semble bien être leur range en tout cas
Abusé ! J’arrive à peine à y croire !
bon ils ont baissé le rideau
Arf, c’est moi où la seule IP de la range en question qui répond demande un auth maintenant ?
un truc qui me chiffonne les script de surveillance et les torrents surveillé se trouve sur leur serveur web oO.
il sont si pauvre que sa chez tmg qu’il doivent se contenter d’un seul serveur pour tout faire
Au contraire, sont plutot plein au as, vu le nombre d’ips qu’ils possedent :p
Ils sont juste con, en fait…
@azliQ:
Heuu.. Le range est blindé d’adresses IP qui répondent..
Ha non trouvé ^^
Je trouve ca trop simple, c’est louche.
on a pas le même range ou quoi ?
C’est encore up? Je ne trouve pas!
Avec des fichiers du 14 mai 2011 01:05…
La copie d’ecran a été faite vers 2 heures du matin
Vu la manière dont la liste des torrents est mise à jour, c’est donc un robot qui cherche et découvre les œuvre partagé « illegalement ». J’aimerais juste savoir comment il si prend ?
Vous pariez combien que c’est juste basé sur une liste de titre que le robots va chercher sur TPB et consort les torrent qui direct mis en surveillance
Cette découverte ne doit pas être négligé.
S’il est mis en évidence par des bidouilleurs que les fichiers traqués par TMG ne sont pas nommément identifiés et indiqués par les ayants-droits, mais que l’entreprise utilise un robot indexeur avec juste des mots-clés… TMG et la Hadopi s’effondreront comme un château de carte face un « shitstorm médiatique » bien conduit.
Ben ça doit être un robot parce que ça m’étonnerais que les ayants droits aient demandé de protéger les wallpapers de This Is It ou encore le fichier .rar chelou pour faire de l’argent qui est même surement un virus
http://pastebin.com/cjU2fnf5
c’est bizare c’est pas la meme liste.
pas le bon truc désolé
http://pastebin.com/Km1mEHcN
Je trouve qu’il n’y a pas tellement de truc français.
Par contre je trouve que certains trucs (The King’s Speech par exemple), sont surrepresentés par rapport à la popularité que ca pourrait avoir (quoi que je sois allé le voir au cinéma en vo comme quoi…).
Donc la liste ne semble pas etre un echantillon de ce qui est demandé a un moment donné, mais ressemble plus à la volonté de cibler un certain public.
Honnêtement ça sent un peu la fuite organisée, on dirait qu’on veut rassurer les fans de Mireille Matthieu qui votent pour Sarkozy.
Que va en penser le pauvre Enrico Macias ?
ce qu’il me choque encore plus c’est le fait qu’il y a des fichiers d’animes en VOSTA tel que Amagami SS etc … ET qu’on vienne pas me dire que c’est illégal car Amagami SS n’est pas licencié en France …
Réponse à Ouka, sans rapport direct avec l’article :
En quoi le fait qu’aucune société française n’ait de licence pour exploiter Amagami SS rendrait ça légal ? Il faut justement obtenir une licence de la société productrice (enfin l’ayant droit) pour que cela soit légal.
Ou alors les sociétés françaises sont assez stupides pour payer les sociétés de production étrangères, alors qu’elles pourraient ne pas le faire ?
Quand il n’y a pas de licence, la seule chose qui change c’est que cela ne gène pas grand monde, la société étrangère détenant les droits ne souhaitant souvent pas exploiter l’œuvre partout dans le monde. Mais il ne faut pas croire que c’est légal pour autant.
ouka:
Bizarrement ces fichiers d’anime ne sont filtrés que parce qu’ils contiennent le mot-clé « Eclipse » (le nom du prochain épisode de la saga Twilight).
Le plus hallucinant c’est que du coup des fichiers incontestablement légaux comme « Java Eclipse total beginner lessons 1-16″ (empreinte e20b26acfba77d9463c38f56393ed5e8bb13cf32) sont répertoriés comme des fichiers illégaux, alors qu’il s’agit en réalité d’un cours de programmation offert gratuitement sur le site de programmation Sourceforge avec une licence qui autorise explicitement n’importe qui à redistribuer leur contenu !
Autrement dit, si ces empreintes sont bien celles utilisées par TMG vous risquez d’être ciblé par leur système automatisé en ne téléchargeant que des contenus parfaitement légaux…
Précision: En ce qui me concerne je ne me revendique pas d’un groupe dénommé « anonymous » et la liste que j’ai posté n’est pas issue d’un logiciel de tmg mais d’une recherche sur les hash (sha1) sur des sites torrents.
Il n’y a rien d’illegal de mon point de vue.
C’est juste une précision pour corriger ce que j’ai pu lire par ci par la.
Je suis reflets parce que je n’y lis pas de l’intox balancé à la va vite comme c’est le cas sur un certain nombre de sites web.
(d’ou l’interet d’aller chercher l’info par soi meme parfois).
C’est une recherche basée sur des noms de fichiers publiquement accessible sur un serveur chez eux.
le meme truc que ca:
http://reflets.info/wp-content/uploads/2011/05/torr-550×477.jpg
On peut noter que pour un hash donné on a plusieurs nom: cette particularité fait que pour une requete donné vers un hash, il n’y a pas necessairement volonté de telechargement illegal.
Jo : Cette liste comporte … Bitdefender ! C’est de l’audiovisuel ça ? :’) Leur outil semble dépasser le cadre de l’hadopi …
Rofl, sur bittorrent, la probabilité qu’un fichier soit un fake augmente avec le nombre de points d’exclamation présents dans le nom du torrent. Étant donné qu’il y en a six, on peut penser qu’il s’agit d’autre chose que d’un crack pour Bitdefender.
Si je me souviens bien, TMG surveille aussi le porno, non ?
Je remarque aussi des fichiers qui expliquent comment faire de l’argent. C’est peut etre une volonté d’avoir les ip de gens qui font dans les chaines d’argent.
Il est par ailleurs étonnant d’avoir des fichiers non indexé.
Je ne suis pas sur à 100% que leur liste de fichiers torrent soit bien une liste de fichiers monitorés, mais quand j’y reflechis ca me semble assez possible.
Il y a des fichiers qui sont pipo dans cette liste, par exemple le « Don’t Download This Torrent. It is a completly blank text file. It’s bullshit.txt » (donné à 0 ko)
C’est peut etre pour faire plus réaliste ?
(je précise que les noms, je les ai trouvé sur des sites web spécialisé dans les torrents, un torrent a parfois plusieurs noms)
Ou alors les hashs en questions correspondent a des fichiers qui avaient d’autres noms à la base et qu’un robot à indexé comme possiblement interessant.
Il faut également noter qu’il y a des torrent.html et des torrent.html.tmp (voir copie d’ecran).
Les torrents en question correspondent peut etre un truc qui télécharge pour voir si un contenu est illégal.
Si c’est ca, est ce que j’ai moi meme le droit de télécharger pour voir si un truc est illegal ?
Apres tout, cette société n’est pas la vrai police.
Ou alors c’est un pur honeypot…
@Rofl : Ça ressemble à un crack illégal pour bitdefender. Et à un virus.
J’ai terriblement envie de le DL pour le passer à l’antivirus… (Mais il n’y a pas de seed. Et le fichier est dans la liste d’HADOPI surtout, ça ferait chier de se prendre un mail pour ça.)
Allo Roger ? Tu as oublié de mettre -Indexes dans la conf !!!
Il y a pire
Quelle est l’adresse ip exacte ???
https://www.ripe.net/cgi-bin/search/gdquery.cgi?index=ripedb&file-match=net&boolean=and&max-results=100&page-results=10&start-page=%2Fdb%2Fwhois-free.html&header=whois&footer=whois&record-type=paragraph&terms=trident+mediaguard&Search=Search&show-context=1°ree-of-error=2&.cgifields=search-substrings&.cgifields=case-sensitive&.cgifields=show-context
Tiens, pourquoi la description est-elle «Trident Mediguard» (sans a à «Mediaguard») ?
C’est assez marrant de voir quels genres de fichiers sont surveillés, quand on se rappelle des débats autour de la mise en place de la riposte graduée…
Pour s’assurer que le fichier à surveiller est bien protégé par le droit d’auteur, TMG va télécharger le fichier en entier : les seuls peers ayant téléchargé le fichier en entier et qui ne seront pas inquiétés sont ceux correspondants aux IP des serveurs de TMG. Or, il a été critiqué que cette règle ne s’applique pas aux autres peers : après tout, moi aussi, quand je télécharge un fichier, le seul moyen de m’assurer que celui-ci n’est pas un fichier soumis au droit d’auteur est de le télécharger complètement…(et de me faire flasher).
Je ne sais plus quelle était la réponse de l’HADOPI… Ça devait être un truc du genre : rassurez-vous, les fichiers qu’on surveillera auront des noms relativement explicites, après tout ce sont les téléchargeurs du dimanche qu’on surveille, pas les gros pirates…
Pis voilà :
« Its Not A Waste Of Time,Read This Bonus File!.rar »
…
(et si ça se trouve, mesquin comme ils sont, ce sont peut-être les ayants-droit eux-mêmes qui ont créé ce fichier…)
ça serait peut-être intéressant de comptabilisées les IP attrapées par TMG pour voir si c’est réellement efficace avec des chiffres « surs » (sauf bien sur si c’est un honeypot).
Faite ce que je dis, pas ce que je fais !
Des clown !
Pour ceux d’entre vous qui veulent l’ip du serveur la voila
91.189.104.30 serveur Apache 2.2.9 (Exploit et faille dispo sur metasploit) machine Debian.
index.html : http://www.91.189.104.30/index.hmtl
Le partage est la liberté !
correction : http://91.189.104.30/index.html
Serveur citrix XEN de TMG : http://91.189.104.240/
XenServ 5.6.0
Serveur Web auxiliaire (offline ?) :http://91.189.104.12/
liste des fichiers surveillés : http://pastebin.com/Km1mEHcN
http://pastebin.com/6RGHGxE2
http://pastebin.com/6RGHGxE2
\o/ les strings dans server_interface.exe
Étant sous linux, le .exe s’est ouvert avec Kate (éditeur de texte) donc aucune rétro-ingénierie n’a été nécessaire.
Analyse des torrents correspondant répertoire outgoing:
http://pastebin.com/5615TQvu
http://pastebin.com/5615TQvu
(ne téléchargez, bien sûr pas les fichiers correspondants)
2 remarques:
Le dernier hash est 1fd358c2dc36a9a69dc21921457263d381f2113f
- ca devrait etre quelque chose en ff, il devrait donc y en avoir plus.
Statistiquement on devrait pouvoir s’y retrouver vu le nombre de fichiers
- bien sur ce n’est pas parce qu’ils regardent sur ca aujourd’hui que demain ca sera pareil.
Toujours quelques fakes mais moins qu’avant.
Sachant que je suspecte la liste du répertoire outgoing d’etre incomplete.
Encore plus de fichiers:
http://pastebin.com/RJdzKD4x
http://pastebin.com/RJdzKD4x
(20707 références)
Quelques détails en plus, rien de révolutionnaire.
Le fichier bencoder.py, si j’en juge par sa taille, ressemble fortement à celui qu’on trouve dans Bitless, un client bittorrent en Python sous licence GPL 3 http://code.google.com/p/bitless/source/browse/trunk/bittorrent/bencode/bencoder.py
En fait vous n’avez rien compris !
Ils ont tout simplement été convaincu par nos arguments et ont adopté le P2P, tout est en partage sur leur serveur ^^
Assez énorme
Ca c’est fort ! et méga suspect … !