Cette fois ci, ça risque d'être un peu moins drôle : Trident Media Guard se voit exposé dans la liste Full Disclosure. Dans nos articles sur la fuite de données, nous n'avions pas souhaité nous étendre sur l'exécutable. Le Cult of Dead HADOPI qui s'était déjà illustré en démontant le logiciel de contrôle de téléchargement d'Orange, revient avec un second advisory concernant TMG.
EDIT 4 : Voici un petit POC pour une non faille de test volontaire. Les spameurs doivent se régaler depuis des années... EDIT 3 : Comme promis, c'est chez Korben que ça se passe pour l'explication de l'exploitation de cette "non faille". EDIT 2 : Il y a bien un loup, Korben va ouvrir le bal du GoogleID vs ugly marketers d'ici quelques minutes... stay tuned. EDIT : plusieurs internautes nous signalent que cette faille était connue depuis 2008.
Il était une fois, au siècle dernier, un dessin animé pas très fin, mettant en scène un inspecteur bardé de gadgets. A chaque souci, il prononçait une phrase "go-go-gadget-o-..." et faisait apparaître des outils improbables pour se sortir d'affaire. Il était une fois, au siècle dernier, des entreprises, des ministères, des armées qui investissaient le Web avec trois bouts de ficelle ou des millions, mais pas une once de connaissances en sécurité informatique.
Dans un mail rendu public sur Electron Libre, Marc Guez s'adonne à un exercice de style pour le moins périlleux, portant des accusations étranges. Dans quelques lignes, monsieur, Guez, vous risquez de ressentir ce qu'il convient d'appeler un grand moment de solitude. Nous vous prions donc de bien vouloir par avance nous en excuser, mais cette mise au point n'en demeure pas moins nécessaire.
La réponse de TMG suite à la fuite de données du week-end dernier me laisse assez songeur. En fait au début je l'ai trouvée assez drôle, le mot de passe devait sûrement être un mot de passe de test qui pointait vers une machine du LAN de test de TMG... OK, admettons... Mais ça commence quand même à être un peu gros. Arrive ensuite la liste des faux utilisateurs de "test", en dur dans le code de l'application.
En 1994, apparaissait le Web. L’un des premiers sites était Playboy.com. Depuis cette époque, toutes les entreprises ont ouvert une vitrine sur cette sous-partie d’Internet. Avec l’explosion du nombre d’ordinateurs interconnectés, sont apparus… les piratages. Car ce réseau a été bâti pour faire un nombre incroyable de choses, mais pas du commerce sécurisé. Tout est troué, mal installé, mal pensé. Les contraintes liées à la sécurité empêchent de faire du commerce en rond. Elles le compliquent.
Nous avons pu observer qu'une archive contenant le logiciel utilisé par TMG pour piéger les internautes sur les réseaux P2P se baladait sur de nombreux sites de téléchargement. L'exploitation de ce logiciel est, nous vous le rappelons, illégale. Aussi nous vous incitons à ne SURTOUT pas le lancer, il se connecte sur le réseau. Une étude de ce logiciel présente un mot de passe en clair qui laisse rêveur puisqu'il aboutit sur une IP locale du LAN de TMG.
Les toutes récentes fuites à gogo relatées par Reflets.info ces derniers jours donnent des vertiges (ici chez Sony, là plus près de chez nous, ou encore ce braquage à l'américaine). Il parait que la CNIL s'intéresse fortement au cas Sony, très emblématique. Des données commerciales à l'air libre, quelle horreur!
Nous avons révélé cette nuit sur Reflets les mauvais effets que produisent un mauvais dispositif. Comme d'habitude,ça se termine en fuite. Sauf que là on a quand même de la fuite de gros calibre avec un monumental fail de la part du seul acteur qui ne devrait pas avoir droit à l'erreur. TMG est une entreprise privée, mandatée par les ayants-droit pour constater les infractions des internautes sur les réseaux peer to peer. Comprenez que TMG est une sorte de mercenaire à qui on impose des quotas.
C'est tellement énorme que c'est à se demander si TMG n'est pas récemment devenu une filiale de Sony, ou si ce que vous allez découvrir n'est pas un honeypot. A tout hasard, et vu qu'il y a quand même un paquet d'IP, nous n'allons pas faire tourner l'adresse de cette machine.
Les attaques aux libertés numériques sont légion. En France, on en parle même plus tellement ça devient lassant... et il va falloir tenir encore au moins un an. Le soucis d'aujourd'hui est européen. A croire que la claque qu'a pris ACTA ces derniers mois, loin de calmer certains lobbys, les a incité à opérer en dessous de table. Ce n'est pas franchement une surprise, la méthode est particulièrement courante. Korben, Numerama, 20Minutes, Owni...
A l'occasion de la visite de Frédéric Mitterrand dans les locaux de la haute autorité, où le ministre n'a pas eu grand chose à dire à la presse en dehors de son discours lu, nous avons eu l'immense joie d'apprendre que 50% des internautes ayant reçu un mail arrêtaient net de télécharger. C'est une grande victoire pour HADOPI, il convient de saluer ce score. Du coup, pas besoin d'une HADOPI 3, pas besoin de mauvais débats pour une nouvelle mauvaise loi.
Vous avez peut-être noté que Skype venait tout juste, aujourd'hui, d'être racheté par Microsoft pour 8,5 milliards de dollars. On peut troller ensemble des heures là dessus, Skype n'était déjà pas libre avant ce rachat et Microsoft (qui devrait finir par l'implémenter dans MSN et à terme, tuer Skype.. bon ok je troll là) mais toujours est-il que la confiance que j'accordais en Skype vient tout logiquement de prendre un sacré coup.
Et de trois ! Sony a été hier victime (enfin plutôt responsable à ce niveau) d'un nouveau leak. Il concerne 2500 clients. Encore de nouvelles données dans la nature, cette fois carrément, indexées par les moteurs de recherche. Pouvons-nous réellement parler d'une attaque à ce niveau ? Non, juste d'une belle boulette qui vient enfoncer un peu plus le clou après les deux précédents épisodes qui ont contraint le géant japonais à fermer le Playstation Network.
Mais que se passe-t-il en Sarkozie ? Tous nos hommes politiques de droite viennent sur le devant de la scène médiatique avouer qu’ils consultent des choses horribles sur le Net. Ils veulent, nous disent-ils un « Internet civilisé », un « Internet sain ». Voyons voir… Les mots ont un sens, n’est-ce pas ? S’ils veulent un internet sain et civilisé, c’est que le leur, celui auquel ils ont accès et qu’ils consultent, n’est ni sain ni civilisé. Alors, que consultent-ils ?
Une petite seconde, je chausse mon nez rouge.. voilà, c'est fait. Ségolène strikes back! ... ça valait bien un petit billet à la hauteur de son tweet que je vous laisse découvrir ci-dessous en léger différé. Le tweet date d'il y a une heure, peu après l'heure de l'apéro... Non, je ne lui cherche pas d'excuse, je constate. Et une fois de plus je constate qu'il y a Internet... et Internet par Ségolène.
Dans la série on vous prend pour des ânes, voici la dernière trouvaille d'Eric Besson : un label "Zone d'activité Très Haut Débit". Les internautes se souviennent très bien du Plan Numérique 2012 qui promettait de faire de la France, non pas un leader, mais un pays qui ne soit pas classé 15e sur 17 au palmarès des pays le plus fibrés en Europe.
Ceci est malheureusement une histoire banale, et grâce à notre MMM nationale, ceci pourrait bien perdurer. Cela fait semble t-il presque un an maintenant que les comptes mails et les mots de passe (hashés) des clients d'age.fr se promènent sur Pastebin. On y trouve évidemment des emails professionnels de grandes entreprises (comme GDF ou Renault) et des institutions (comme Bercy... tiens, tiens...). Les clients d'Age.
On savait que les candidats au suicide allaient être nombreux. Suicide ? Oui car les sociétés qui prennent les internautes les plus faibles pour des cons s'exposent aux foudres des internautes qui savent que la sécurité auto-proclamée par l'obscurantisme est une grave erreur. Elles le savent, les exemples sont nombreux, très nombreux, du hard comme du soft ... mais il semble que l'appât du gain au détriment de la sécurité des utilisateurs soit plus fort.
Vous avez peut être noté, si vous êtes un gamer invétéré, que Sony s'est un peu fait p0wn3d son espace où les joueurs s'affrontent en ligne, le Playstation Network (PSN). La plateforme est restée indisponible de longues heures. Sony a semble t-il fait le choix de tout débrancher pour enrayer l'attaque... C'est un choix, ce n'était pas la seule solution et nous allons y revenir un peu plus loin.