|
|
Quand l'Hadopi délivre des résultats pirates via une faille XSS...
Guillaume Champeau -
publié le Mercredi 30 Mars 2011 à 10h17 -
posté dans Société 2.0
Peut-on exiger des internautes qu'ils sachent sécuriser leur accès à Internet, sans être soi-même un modèle de sécurisation ? Pour mettre en évidence la contradiction, le président du Parti Pirate a exploité une faille du site de l'Hadopi qui lui a permis d'utiliser le formulaire de recherche des offres légales pour trouver des fichiers sur le site The Pirate Bay. Mise à jour : la faille a été corrigée en milieu de matinée ce mercredi. Preuve que l'Hadopi sait être réactive.
Le président du Parti Pirate, Paul Da Silva, s'est bien amusé. Avec le plus grand sérieux. Mardi, nous vous expliquions que pour accorder ses futurs labels d'offres légale aux premiers candidats (Deezer, Beezik et VidéoAVolonté.com), l'Hadopi avait trahit les textes réglementaires en préférant mettre en place un moteur de recherche des oeuvres plutôt qu'en publiant la liste complète des oeuvres à labelliser. Or ce moteur de recherche n'est pas sécurisé. Sauf correction entre le moment où nous publions ces lignes et le moment où vous les lisez, le fait de passer par ce lien conduit vers le moteur de recherche de l'Hadopi, au comportement étrange. Lors de la saisie, le moteur se transforme en recherche sur The Pirate Bay, et les résultats affichés sont ceux du célèbre site de liens BitTorrent. La faute à une faille XSS qui permet d'injecter du code dans les URL et de modifier le comportement des pages. Que ce soit pour conduire vers TPB, ou faire autre chose de plus discret ou mal intentionné. Ca n'est pas le site de l'Hadopi qui est compromis, mais la sécurité de ceux qui visiteraient de bonne foi le site de l'Hadopi par un tel lien modifié, qu'ils auraient reçu, par exemple, par e-mail. Or comme l'explique Paul Da Silva sur son blog, cette faille n'est pas anodine venant de l'Hadopi. C'est la deuxième fois qu'une telle faille est décelée sur Hadopi.fr. Or, "rappelons que la Hadopi demande à chaque personne de sécuriser son accès à Internet, ce qui, si c’était possible, révèlerait de qualifications d’un ingénieur en sécurité réseau", rappelle le président du Parti Pirate. Il souhaitait donc "savoir si [l'Hadopi], avec ses moyens, s’appliquait lui même la rigueur qu’il exige de monsieur et madame tout le monde", ce qui n'est pas le cas. "Là où on pourrait croire que la Hadopi aurait tiré les leçons de la première démonstration, j’ai pu trouver hier, en 6mn30, une nouvelle faille sur le site de l’autorité… Selon la loi il s’agit donc du second avertissement… Au prochain il faudra songer à couper la connexion chez Hadopi ?", demande Paul Da Silva. à lire aussi
  Prix indiqués avec livraison
39
Commentaires à propos de «Quand l'Hadopi délivre des résultats pirates via une faille XSS...»
 Hypocrisie
Foutage de gueule Faite ce que je dis pas ce que je fais Hopital, charité... à vous de choisir  comme dirait jean pierre coffe
mais c'est de la m..... enfin rien que la loi hadopi ca en a le gout et l'odeur un philosophe a dit quand la tête du poisson est pourrie il ne faut pas manger le reste  rappelons que la Hadopi demande à chaque personne de sécuriser son accès à Internet
Rappelons que ce n'est pas la Hadopi qui le demande (sic), mais que c'est la loi française, votée démocratiquement (même si certains le regrettent) par des représentants de la Nation et représentatifs de la majorité des électeurs. Hadopi n'est là que pour mettre la loi en application. Ensuite, quel est le rapport entre la sécurisation de l'accès à Internet exigée par la loi et une faille serveur (ou plutôt une faille dans un développement php sur le serveur) ? C'est comme si les électriciens contestaient les normes sur les installations électriques parce qu'il y a eu un court-circuit dans l'immeuble de l'AFNOR !!! Enfin, la loi ne demande pas à mr et mme tout le monde d'être des ingénieurs en sécurité réseau, la loi leur demande d'installer des logiciels (qui pour l'instant n'existent pas), ce qui ne sera normalement pas plus compliqué que d'installer eMule ou un VPN. Pourtant le parti pirate ne pense pas que monsieur et madame tout le monde doivent être des ingénieurs en réseaux WAN et protocole p2p pour installer et utiliser eMule, non ? Alors pourquoi imaginer, avant même d'avoir vu ces logiciels qu'il faudra avoir un niveau élevé en sécurité réseau pour pouvoir les installer et les paramétrer ? Mais le travail des lobbies qu'ils soient d'un côté ou de l'autre, c'est d'exagérer chaque incident, d'en détourner son sens et de faire de la démagogie à la petite semaine. Et dans ces lobbies, je met dans le même panier des Pascal Nègre et des Paul Da Silva.  Ma grand-mère ne sait pas installer emule ou un VPN, et elle ne le saura jamais. En fait ma grand-mère ne sais pas installer de logiciel sur son ordinateur. J'imagine qu'elle ira en tôle si elle se fait gauler à ne pas crypter son wifi en wpa2 et à oublier d'installer un antivirus sur son ordinateur...
Rappelons que ce n'est pas la Hadopi qui le demande (sic), mais que c'est la loi française, votée démocratiquement
16 députés dans l'hémicyle, donc tout est relatif. Enfin, la loi ne demande pas à mr et mme tout le monde d'être des ingénieurs en sécurité réseau, la loi leur demande d'installer des logiciels (qui pour l'instant n'existent pas), ce qui ne sera normalement pas plus compliqué que d'installer eMule ou un VPN
Comme tu le dis toi même "qui pour l'instant n'existent pas", quid des gens qui sont injustements flachés en ce moment ?  Kiraa, le 30/03/2011 - 11:13
Comme tu le dis toi même "qui pour l'instant n'existent pas", quid des gens qui sont injustements flachés en ce moment ?Le but premier de l'HADOPI c'est d'inculquer dans la tête des gens les moins compétent la *méfiance*, leur donner l'impression confuse que "Internet c'est DAN-GEU-REUX, risqué, et que "on" vous surveille". Un logiciel de "protection" n'arrivera que plus tard, si il arrive, car à ce stade il est contre-productif. C'est comme de se dire: "Internet est plein de virus, mais OUF, c'est bon, j'ai un anti-virus, je suis tranquille" - ce qui détruit l'impression de risque confus. Bref, c'est un grand classique de FUD (Fear, Uncertainty, Doubt). C'est la 2ème fois qu'ils se font attrapés pour non-sécurisation; la 3ème, ça passe chez le juge ....
CaptainKiller, le 30/03/2011 - 11:07 Ma grand-mère ne sait pas installer emule ou un VPN, et elle ne le saura jamais.Non mais son petit-fils, lui, sait ! Il faudrait qu'il le fasse... :-) En tous cas moi c'est ce que je fait: J'installe un OpenVPN PARTOUT ou je passe, par défaut, avec une icône en bas facile à utiliser avec les noms des différents pays pour les serveurs, actif par défaut (mais désactivable si besoin est). Et j'explique ce que c'est, a quoi ça sert et pourquoi, et je laisse une petite fiche/flyer. Et j'ai eu de *très* nombreuses demandes de voisin, amis d'amis,... J'en profite aussi pour installer Firefox - un gros succès - avec les extensions qui vont bien contre les pubs, les cookies, les LSO, le mode de navigation privé actif par défaut. Et pendant que j'installe j'en profite pour expliquer les "Do & Don't" pour facebook, les mails, les spams... Sur demande, je met aussi un petit dossier de bookmarks dans le navigateur avec des liens pour les mp3, les torrents,... même le streaming, même si j'en profite pour en coller une couche sur les effets néfastes. Car je pense que c'est aussi à *NOUS* de montrer, et d'éduquer les gens qui savent pas, plutôt que de les laisser à la merci du gouvernement ou des marketteux. Sinon, qui le fera ? Et j'ai remarqué que ce discours prends particulièrement bien chez 2 catégories de personnes: Les ado (qui commencent de plus en plus à se méfier de facebook), et les 40-60 ans, quand on leur parle de vie privé/liberté d'expression/surveillance policière....  Encore une fois Westlake tu es à côté de la plaque, c'est pas grave c'est en faisant des erreurs que l'on apprend
 Hadopi fait référence aussi bien à l'administration qu'à la loi qui l'a mise en place. En l'espèce c'est donc bien Hadopi (la loi) qui demande une sécurisation de la connexion Internet. Quel rapport entre la sécurisation d'un site Web et d'une connexion Internet ? Simple : si l'ordinateur et la box sont les premiers maillons de la connexion Internet, les sites web ou les services consultés sont le dernier maillon... On est donc bien dans la connexion Internet que l'utilisateur, même le plus compétent, ne peut pas sécuriser. Les logiciels dont tu parles enfin et qui, comme tu le soulignes, n'existent pas encore (et n'existeront probablement jamais IMHO) ne sécuriseront que les premiers maillons de la chaine décrite juste au dessus et ne pourront JAMAIS garantir de ne pas se faire attraper par la Hadopi. Pourquoi ? Parce qu'à partir du moment où tu as une connexion (et donc une adresse IP) tu es la cible potentielle de faux-positifs qui existent déjà et vont aller en se multipliant à force d'automatiser la Hadopi ! (Emule est un mauvais logiciel, il répartit très mal la charge sur le réseau, mais c'est un autre débat  ) Quant à l'attribution du titre de lobby et la comparaison avec Pascal Nègre... Et bien je t'invite à relire mon argumentaire et à me dire où j'ai exagéré quoi que ce soit... Je ne fais que constater des choses, le reste c'est ton interprétation qui est orientée... rappelons que la Hadopi demande à chaque personne de sécuriser son accès à Internet
Rappelons que ce n'est pas la Hadopi qui le demande (sic), mais que c'est la loi française, votée démocratiquement (même si certains le regrettent) par des représentants de la Nation et représentatifs de la majorité des électeurs. Hadopi n'est là que pour mettre la loi en application. Ensuite, quel est le rapport entre la sécurisation de l'accès à Internet exigée par la loi et une faille serveur (ou plutôt une faille dans un développement php sur le serveur) ? C'est comme si les électriciens contestaient les normes sur les installations électriques parce qu'il y a eu un court-circuit dans l'immeuble de l'AFNOR !!! Enfin, la loi ne demande pas à mr et mme tout le monde d'être des ingénieurs en sécurité réseau, la loi leur demande d'installer des logiciels (qui pour l'instant n'existent pas), ce qui ne sera normalement pas plus compliqué que d'installer eMule ou un VPN. Pourtant le parti pirate ne pense pas que monsieur et madame tout le monde doivent être des ingénieurs en réseaux WAN et protocole p2p pour installer et utiliser eMule, non ? Alors pourquoi imaginer, avant même d'avoir vu ces logiciels qu'il faudra avoir un niveau élevé en sécurité réseau pour pouvoir les installer et les paramétrer ? Mais le travail des lobbies qu'ils soient d'un côté ou de l'autre, c'est d'exagérer chaque incident, d'en détourner son sens et de faire de la démagogie à la petite semaine. Et dans ces lobbies, je met dans le même panier des Pascal Nègre et des Paul Da Silva. Quand à ses fameux (futur) logiciel qui devraient voir le jour j'ai de très sérieux doute quand à leurs efficacité, quand les géants de la sécurité recensent des failles très fréquentes dans leurs logiciels produit à l'échelle mondial, il me semble prétentieux qu'une société produise un logiciel fiable à l'échelle national, et je ne parle même pas des paramétrages de ses pseudo-logiciels tout comme les conflits de version OS, Firewall etc... Hadopi est une erreur une perte de temps et d'argent, d'ailleurs tout les experts en sécurité réseaux te le diront. Ce qui est dingue c'est que les gens gueulent contre une loi tout à fait normale...
Les limitations de vitesse sur la route ne sont pas contestées donc pourquoi contester l'Hadopi (qui fait finalement moins chier le citoyen lambda) ??? Pfft... Si vous n'êtes pas des pirates vous vous en foutez d'hadopi, point final. Donc en gros, tout ceux qui gueulent qu'Hadopi c'est de la merde enfreignent la loi et le savent, donc faut pas vous plaindre après... C'est comme un gars qui picole et va prendre sa voiture, il va pas porter plainte parce que les flics lui on enlevé des points et piquer du pognon, il était au courant que c'est illégale de conduire bourré... Et puis de toute façon "nul n'est cencé ignorer la loi". CQFD. " Tout individu a droit à la liberté d'opinion et d'expression, ce qui implique le droit de ne pas être inquiété pour ses opinions et celui de chercher, de recevoir et de répandre, sans considérations de frontières, les informations et les idées par quelque moyen d'expression que ce soit. "
http://fr.wikipedia.org/wiki/Liberté_d'expression Et cette loi, tu la connais? Ce n'est pas parce qu'on enfreint la loi qu'on est contre Hadopi, c'est parce que Hadopi enfreint la loi qu'on est contre. CodeKiller, le 30/03/2011 - 12:50 Ce qui est dingue c'est que les gens gueulent contre une loi tout à fait normale... Les limitations de vitesse sur la route ne sont pas contestées donc pourquoi contester l'Hadopi (qui fait finalement moins chier le citoyen lambda) ??? Pfft... Si vous n'êtes pas des pirates vous vous en foutez d'hadopi, point final. Donc en gros, tout ceux qui gueulent qu'Hadopi c'est de la merde enfreignent la loi et le savent, donc faut pas vous plaindre après... C'est comme un gars qui picole et va prendre sa voiture, il va pas porter plainte parce que les flics lui on enlevé des points et piquer du pognon, il était au courant que c'est illégale de conduire bourré... Et puis de toute façon "nul n'est cencé ignorer la loi". CQFD. OK, donc si nos élus dépensent des fortunes pour des lois qui au final sont totalement inapplicable, et aurons presque aucun impacte sur les revenus des artiste/créature bref, les droits d'auteurs il ne faut pas ce plaindre ? Je ne parle même pas du respect de la privé et autre petit inconvénient de cette "loi", mais tout simplement des sommes colossal dépenser pour faire plaisir à quelques géants comme les majors, et au final nada ! Enfin allons y gaiement pour loppsi, acta etc... Nul n'est censé ignorer la loi, tu manque pas d'humour.
|
A LA UNE
LES + COMMENTÉS
  4 offres à partir de 13 €
 10 offres à partir de 27 €
Télécharger
cryptage emule islande,
bittorrent emule island,
windows 8,
nettoyeurs emule islande,
logiciel 2010,
msn messenger,
avast,
amapi 3d 415,
Accès rapide :
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
|
La correction a été effectuée