Négligence caractérisée façon HADOPI chez les le fournisseur de solutions sécurisées pour HADOPI

Posted on 27 mai 2011

1


Isis, le logiciel pour sécuriser votre connexion Internet et vous prémunir des foudres d’HADOPI, censé lutter contre le fameux délit de négligence, ça vous dit quelque chose ?

H2D2, la société qui commercialisait ce failware, vient de faire faillite. Selon Clubic :

L’an dernier, la société H2DS nous avait fait la présentation de son logiciel baptisé Isis. Alors en version bêta, le logiciel suivait les conditions techniques inscrites dans les premières planches de travail des « spécifications fonctionnelles » de l’Hadopi. Étudié, sous toutes ses coutures, le logiciel se présentait alors sous la forme d’un croisement entre un firewall et un module de contrôle parental.

Un petit coup d’oeil sur le site d’H2D2 vaut le détour. Pour des professionnels de la sécurité, ça craint velu. D’abord parce que le formulaire de connexion n’utilise pas HTTPS. En gros, les mots de passe et autres informations sont transmis en clair sur le réseau lorqu’on accède à la page http://isis-h2ds.fr/identification.php. Manque le S !  . Pour des gens qui disent sécuriser des réseaux Wifi, ça la fout mal…

Ensuite, il y a le XSS, cross site scripting. Le site Web est vulnérable à une requête exécutant un script dans l’URL. Normalement, on le développeur web doit effectuer un « sanitizing » des requêtes qui sont passées dans l’URL et une adresse qui comporte SCRIPT en clair devrait sauter, sinon, cela donne ça :

http://isis-h2ds.fr/XXXXXXXXXXXX.php?ref=%27%22–%3E%3C/style%3E%3C/script%3E%3Cscript%3Ealert%28%27SITE%20NON%20SECURISE%27%29%3C/script%3E&XXXXXXXXXXXXXX.php

Mais cerise sur le gâteau, le site est également vulnérable à une injection SQL, la voie royale des pirates qui peuvent ainsi prendre le contrôle de la base de données et des informations qu’elle renferme. Vous avez dit sécurité ?

 

Et les experts commercialisant une solution de sécurité validée par HADOPI ne pratiquent pas de pentest de leur serveurs web ? Ni même de reconnaissance de failles avec un simple scanner comme Nessus ou Netsparker ?

 

Vous avez dit négligence ? Bon, alors pour éviter toute équivoque, après les histoires à la con des boîtes (TATI, TMG… voir sur la liste complète sur Attrition.org ) qui poursuivent des gens pour vols de données : Les requêtes envoyées dans un navigateur et permettant d’afficher n’importe quelle connerie ne constituent pas un VOL  de DONNÉES mais caractérisent simplement la négligence du responsable de cette page.

Et les scanners ? Il est interdit de tester un site web sans le consentement de son responsable. Cela n’empêche pas des gens de le faire et de faire circuler les infos, qui sont toujours les bienvenues sur ce blog…

Publicités