En plus du risque déjà connu d’accuser faussement des innocents, la riposte graduée risque aussi de provoquer une vague d’attaques par phishing. Des hackers ont démontré aux Etats-Unis qu’il était très simple de générer de faux messages d’avertissements, qui pourront être détournés à des fins malveillantes.

Les Etats-Unis n’ont pas encore mis en place de riposte graduée à la française, ce qui n’empêche pas les studios de cinéma, les maisons de disques ou les éditeurs de jeux vidéo et logiciels de s’attaquer aux P2Pistes. Dans le but de leur faire peur, ils envoient à ceux qui téléchargent illégalement des contenus sur les réseaux P2P des messages d’avertissement auxquels ils peuvent répondre grâce à un formulaire.

L’une des entreprises employées par les majors de l’industrie culturelle pour envoyer ces messages est BayTSP. La société repère les adresses IP des contrevenants, enregistre les informations sur l’infraction (nom et signature du fichier, date et heure du téléchargement, adresse IP utilisée, protocole employé…), et demande aux FAI d’envoyer de leur part les messages d’avertissements à ceux qui étaient titulaires de l’adresse IP consignée au moment du téléchargement. Le formulaire permet alors aux internautes pris en flagrant délit de piratage de déclarer sur l’honneur qu’ils vont immédiatement supprimer tous les fichiers piratés. Et l’affaire s’arrête là.

Mais le procédé employé par BayTSP n’est pas sécurisé. Tout d’abord au niveau vie privée, c’est le zéro pointé. Tous les formulaires sont référéncés par Google, ce qui permet à chacun de consulter tous les avertissements envoyés aux différentes adresses IP repérées.

Ensuite, en exploitant une faille XSS, il est possible de générer de faux avertissements et même de faux formulaires, qui permettent d’inciter les utilisateurs à télécharger par exemple un trojan lorsqu’ils pensent télécharger un « logiciel de sécurisation », ou même d’entrer un numéro de carte bancaire pour payer une prétendue amende.

Le risque existera aussi en France avec l’Hadopi, si de faux e-mails d’avertissement sont envoyés en son nom. Le phishing n’est pas réservé qu’aux banques.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.