Décrié dès sa sortie, le logiciel de sécurisation payant anti-P2P d’Orange va devoir faire face à une lourde polémique : à cause d’une faille de conception, les IP de ses utilisateurs ont été rendues publiques...

En examinant le fonctionnement du logiciel, le bloggeur Bluetouff s’est aperçu que celui-ci échangeait diverses informations (certaines légitimes, comme des mises à jour de la base de signatures de logiciels P2P, et d’autres au rôle plus obscur) à un serveur de Nordnet (filiale d’Orange).

Il ne lui aura pas fallu longtemps pour s’apercevoir qu’il existait, à l’adresse de ce serveur, une page “Status” (vraisemblablement, une console web destinée aux administrateurs du système), en accès totalement libre, répertoriant les adresses IP des abonnés au logiciel payant d’Orange !

Plus grave encore, un autre utilisateur a découvert qu’une interface d’administration sur ce même serveur était configurée avec des identifiants par défaut (mot de passe : admin) et donnait accès à des fonctionnalités vitales du système...

Il semble que ces failles gravissimes n’aient toujours pas été corrigées à l’heure actuelle, malgré ce qu’indiquaient les médias hier dans la soirée. Néanmoins, suite à l’afflux de visiteurs, il est devenu très difficile d’obtenir une communication avec le serveur surchargé.

En tout état de cause, on ne saurait que trop recommander aux clients d’Orange d’éviter à tout prix de se procurer cette option de “sécurisation” ;-)