Publié par Guillaume Champeau, le Jeudi 14 Mai 2009

La "riposte gradué" américaine vulnérable aux attaques

En plus du risque déjà connu d'accuser faussement des innocents, la riposte graduée risque aussi de provoquer une vague d'attaques par phishing. Des hackers ont démontré aux Etats-Unis qu'il était très simple de générer de faux messages d'avertissements, qui pourront être détournés à des fins malveillantes.

Les Etats-Unis n'ont pas encore mis en place de riposte graduée à la française, ce qui n'empêche pas les studios de cinéma, les maisons de disques ou les éditeurs de jeux vidéo et logiciels de s'attaquer aux P2Pistes. Dans le but de leur faire peur, ils envoient à ceux qui téléchargent illégalement des contenus sur les réseaux P2P des messages d'avertissement auxquels ils peuvent répondre grâce à un formulaire.

L'une des entreprises employées par les majors de l'industrie culturelle pour envoyer ces messages est BayTSP. La société repère les adresses IP des contrevenants, enregistre les informations sur l'infraction (nom et signature du fichier, date et heure du téléchargement, adresse IP utilisée, protocole employé...), et demande aux FAI d'envoyer de leur part les messages d'avertissements à ceux qui étaient titulaires de l'adresse IP consignée au moment du téléchargement. Le formulaire permet alors aux internautes pris en flagrant délit de piratage de déclarer sur l'honneur qu'ils vont immédiatement supprimer tous les fichiers piratés. Et l'affaire s'arrête là.

Mais le procédé employé par BayTSP n'est pas sécurisé. Tout d'abord au niveau vie privée, c'est le zéro pointé. Tous les formulaires sont référéncés par Google, ce qui permet à chacun de consulter tous les avertissements envoyés aux différentes adresses IP repérées.

Ensuite, en exploitant une faille XSS, il est possible de générer de faux avertissements et même de faux formulaires, qui permettent d'inciter les utilisateurs à télécharger par exemple un trojan lorsqu'ils pensent télécharger un "logiciel de sécurisation", ou même d'entrer un numéro de carte bancaire pour payer une prétendue amende.

Le risque existera aussi en France avec l'Hadopi, si de faux e-mails d'avertissement sont envoyés en son nom. Le phishing n'est pas réservé qu'aux banques.

Publié par Guillaume Champeau, le 14 Mai 2009 à 14h19
 
31
Commentaires à propos de «La "riposte gradué" américaine vulnérable aux attaques»
Inscrit le 09/02/2009
1796 messages publiés
HADOPI, c'est une CONNERIE GRADUEE !
(Dans le mur nous allons, doucement, mais sûrement )
[message édité par Obelixator le 14/05/2009 à 14:28 ]
Inscrit le 10/02/2009
26 messages publiés
Inscrit le 10/03/2009
900 messages publiés
Quand on voit qu'ils n'ont même pas acheter tous les domaines pour hadopi, c'est la merde
Inscrit le 23/06/2008
1633 messages publiés
Défavorable

Anéfé !
Inscrit le 09/10/2008
3217 messages publiés
on va vraiment se fendre l'oignon

Vive Franck Riester et les deux autres rapporteurs et super merci à Albanel les pro de l'informatique.. à cause de eux on va tous morfler.. même les gens qui téléchargent pas..

mais on va se marrer ils sont fini politiquement parlant, ca va les poursuivre toute leur vie
Inscrit le 11/05/2009
76 messages publiés
Inscrit le 14/05/2009
2 messages publiés
Oui EDU tu as raison on va vraiment se fendre l'oignon, et si comme dit le dicton : rire vaut un steack...Sur qqu'à la fin de cette année on va tous être obèse !!!!.

Allez bons surfs à tous et toutes, bonnes rigolades et A++++
Inscrit le 09/10/2008
3217 messages publiés
c'est plus grave en france puisque les mails hadopi ne diront pas clairement ce qui a été telechargé, c'est la porte ouverte a toute les derives:
-appelez au numero 0123456798 pour plus d'info sur le delit
-installez ce programme de securisation en piece jointe

huhu
Inscrit le 10/11/2008
3744 messages publiés
HADOPI Les comiques ont encore frappés!
Inscrit le 05/05/2009
3 messages publiés
Merde alors, comment je vais payer mes impôts si j'ai pu internet ! Je ne pourrais même plus localiser mon centre d'impôt sur google maps
Inscrit le 09/10/2008
3217 messages publiés
Oui EDU tu as raison on va vraiment se fendre l'oignon, et si comme dit le dicton : rire vaut un steack...Sur qqu'à la fin de cette année on va tous être obèse !!!!.Allez bons surfs à tous et toutes, bonnes rigolades et A++++


je ne sais pas dans quel sens tu dit ca mais sache que contre le SSL tu fait rien.

à méditer au cas ou t'a réponse était ironique bien sur 50% des gens sont déja en SSL depuis belle lurette tu sait donc continuez a développer l'offre illégale go go go go
Inscrit le 05/05/2009
242 messages publiés
à‡à aura au moins fait ressortir au grand jour tout les pourris et les toutou de sarko 1 er
Inscrit le 13/05/2009
310 messages publiés
HADOPI Les comiques ont encore frappés!
Inscrit le 08/11/2008
3327 messages publiés
>>>Le phishing n'est pas réservé qu'aux banques.
Oui. Et alors ? Il faut céder à la pression des spammeurs et autres escrocs qui envoient du fishing pour ne plus rien faire ?

>>>Merde alors, comment je vais payer mes impôts si j'ai pu internet !
Tu iras sur l'ordi de ton beau-frère.
Inscrit le 10/04/2009
2382 messages publiés
>>>Le phishing n'est pas réservé qu'aux banques.
Oui. Et alors ? Il faut céder à la pression des spammeurs et autres escrocs qui envoient du fishing pour ne plus rien faire ?


T'es vraiment hors sujet. :s

Il dénonce des failles, il dit pas qu'il faut rien faire, mais que ce qui est fait est merdique.

It
Inscrit le 22/04/2009
594 messages publiés
>>>Le phishing n'est pas réservé qu'aux banques.
Oui. Et alors ? Il faut céder à la pression des spammeurs et autres escrocs qui envoient du fishing pour ne plus rien faire ?

Aurais-tu l'extreme obligeance de reformuler cette phrase dont la construction à la grammaticalité douteuse nuit à la compréhension?
Trad: On bitte que dalle à ce que tu raconte blaireau!
"il faut ceder[...]pour ne plus rien faire?" c'est une cause à effet? le but de la pression? une contre réaction? a-ce le moindre rapport avec la phrase mise en exergue(car ni citée entre guillemets, ni quotée entre balises)?

>>>Merde alors, comment je vais payer mes impôts si j'ai pu internet !
Tu iras sur l'ordi de ton beau-frère.

N'etais-ce pas toi qui disait qu'internet n'etait pas encore étendu à toute la population?
Tout le monde n'a pas ta vie sur ce forum, certains n'auront aucun plan de secours si on leur coupe l'acces à internet.
Inscrit le 14/05/2009
3 messages publiés
comment comptinuer a telecharger san crainte?
Inscrit le 29/04/2009
37 messages publiés
comment comptinuer a telecharger san crainte?


ben, faut installer un vpn style tor ou autre et passer au p2p crypté
Inscrit le 24/09/2008
3280 messages publiés
"Le risque existera aussi en France avec l'Hadopi, si de faux e-mails d'avertissement sont envoyés en son nom. Le phishing n'est pas réservé qu'aux banques."
et bien bonne chance...
Inscrit le 24/09/2008
3280 messages publiés
kad@
ya pas une faute dans le titre?
Inscrit le 24/09/2008
3280 messages publiés
>>>Le phishing n'est pas réservé qu'aux banques.
Oui. Et alors ? Il faut céder à la pression des spammeurs et autres escrocs qui envoient du fishing pour ne plus rien faire ?

>>>Merde alors, comment je vais payer mes impôts si j'ai pu internet !
Tu iras sur l'ordi de ton beau-frère.


Va faire ta propagande gouvernementale ailleurs
Inscrit le 09/10/2008
3217 messages publiés
mais laisser tomber ce mec... il ressemble a riester quand il parle...

fishing ? lol.. le gars a du se connecter il y a peu sur le web.... c'est un majors de musique ca se voit le gars est déjà dépassé lol

Ph pas fish trop mdr.. on pourrait en faire un Buzz, le Buzz du trou du balle
Inscrit le 15/03/2006
1921 messages publiés
Inscrit le 16/03/2009
1369 messages publiés
J'espère qu'ils auront la décence d'utiliser des adresses pour leur site en .gouv.fr au moins. Après vu que tout comme le courrier postal n'importe qui peut faire croire que c'est l'HADOPI qui est l'expéditeur, on sait très bien ce que l'on vas retrouver dans nos boites à SPAMS...


ColdFire
Inscrit le 14/05/2009
2 messages publiés
C'est tellement facile à faire pour les banques déjà .... évidement qu'il va y avoir des abus.
Inscrit le 14/05/2009
2 messages publiés
C'est déjà tellement facile pour les banques ... évidement qu'il y auras des abus, d'autant plus que les pirates prendront un malin plaisir à se prendre pour la machine d'envoi de mail d'Hadopi :-)
Inscrit le 25/01/2007
2899 messages publiés
"Title: Hulk Vs.
Infringement Source: BitTorrent
Initial Infringement Timestamp: 2009-02-12 06:16:43
Recent Infringement Timestamp: 2009-02-12 06:16:43
Infringing filename: Hulk.vs.Thor.2008.WS.DVDRiP.XviD-WaLMaRT
Infringers IP Address: 58.178.110.29
Infringers DNS name: 29.209.dsl.mel.iprimus.net.au
Infringers URL: http://tracker.jamendo.com:80/announce.php"

marrant ca, le deuxieme truc de la liste, c'est un tracker.jamendo
Inscrit le 26/03/2009
172 messages publiés
Dans les livres d'histoire en 2150 : "Qui peut me parler de Sarkozy, les enfants ?"
- "Moi, madame !" C'est le président qui au siècle dernier a restreint les libertés individuelles sur la toile..."
- "C'est bien, mais autre chose qu'il a fait ?
silence de mort dans la classe...
- "Personne, les enfants ? Très bien on passe au sujet suivant.."
Inscrit le 16/05/2009
2 messages publiés
Dans les livres d'histoire en 2150 : "Qui peut me parler de Sarkozy, les enfants ?"
- "Moi, madame !" C'est le président qui au siècle dernier a restreint les libertés individuelles sur la toile..."
- "C'est bien, mais autre chose qu'il a fait ?
silence de mort dans la classe...
- "Personne, les enfants ? Très bien on passe au sujet suivant.."


Les hôpitaux, la privatisation des universités, la condensation des cours pour primaires, filer des sous aux banques sans droit de regard pour l'état, placer tous ses amis à la tête des grosses entreprises, se marier avec une ex top model riche, insulter les citoyens, retarder le droit européen, imposer sa vision à l'europe...

Mais si, il en a fait des choses
Inscrit le 24/02/2009
783 messages publiés
BayTSP: le genre de boite vautour qui profite des derives securitaires de nos societes pour faire du pognon: Ils préparent 2 bouts de code pourri et, grâce à une bonne(?) equipe marketing, ils amadouent les bras-cassés des gouvernements en leur faisant miroiter LA solution technique.

Navrant.
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Mai 2009
 
Lu Ma Me Je Ve Sa Di
27 28 29 30 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
1 2 3 4 5 6 7