Journal d'investigation en ligne et d'information‑hacking
par bluetouff

TMG exposé sur Full Disclosure par le Cult of Dead Hadopi

Cette fois ci, ça risque d'être un peu moins drôle : Trident Media Guard se voit exposé dans la liste Full Disclosure. Dans nos articles sur la fuite de données, nous n'avions pas souhaité nous étendre sur l'exécutable. Le Cult of Dead HADOPI qui s'était déjà illustré en démontant le logiciel de contrôle de téléchargement d'Orange, revient avec un second advisory concernant TMG.

Cette fois ci, ça risque d'être un peu moins drôle : Trident Media Guard se voit exposé dans la liste Full Disclosure. Dans nos articles sur la fuite de données, nous n'avions pas souhaité nous étendre sur l'exécutable. Le Cult of Dead HADOPI qui s'était déjà illustréen démontant le logiciel de contrôle de téléchargement d'Orange, revient avec un second advisory concernant TMG.

C'est plutôt technique, et malheureusement, ça se passe on est très proche des risques que nous avions exposé à la Commission de Protection des Droits de l'HADOPI.

L'analyse du code est sans appel, il est possible d'injecter des commandes à distance sur les machines de TMG ou d'empoisonner des mises à jour. Le risque de compromission que nous avions pressenti est maintenant exposé, et exploité, sous forme d'un script Python nommé Too_Many_Greemlins_exposed_to_the_sunlight.py

Le Cult of Dead Hadopi, en conclusion, ironise sur le reversing, interdit en France, qui devrait obliger les surveillés à faire une confiance aveugle à ce qu'une société privée met en place comme outils et comme processus pour manipuler leurs données personnelles et servir de bases à l'application de sanctions. Le statut du traitement des adresses IP nécessite une clarification juridique, c'est urgent, Eric Freyssinet le soulignait il y a encore peu de temps.. A notre connaissance, la CNIL étudie les process de manipulation de données personnelles mais est-elle juridiquement compétente pour étudier le code ? En tout cas, le Cult of Dead Hadopi prouve une fois de plus l'extrême urgence d'y jeter un oeil attentif. Le débat est fréquemment relancé, comme dernièrement par Cédric Blancher, réagissant à la proposition de loi de la député Marland Militello.

Si le logiciel en question venait, suite à l'audit de la CNIL et de l'HADOPI chez TMG, à être celui qui est utilisé dans le cadre de la riposte graduée, juridiquement, il se pourrait que ce soient toutes les procédures passées qui doivent être remises en cause.

Lecture complémentaire :** Proposition de loi Détraigne/Escofier** sur le droit à la vie privée qui aborde le traitement des adresses IP et la communication des entreprises qui voient des données personnelles de tiers fuiter. Cette PPL devrait faire l'objet d'une transposition de directives européennes dans le droit français, ce dans le cadre de la transposition du Paquet Télécom.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée