TMG exposé sur Seclists par le Cult of Dead Hadopi

0
70

Cette fois ci, ça risque d’être un peu moins drôle Trident Media Guard se voit exposé sur Seclists. Dans nos articles sur la fuite de données, nous n’avions pas souhaité nous étendre sur l’exécutable. Le Cult of Dead HADOPI qui s’était déjà illustré en démontant le logiciel de contrôle de téléchargement d’Orange, revient avec un second advisory concernant TMG.C’est plutôt technique, et malheureusement, ça se passe un peu comme ce que nous avons exposé comme risque à la Commission de Protection des Droits de l’HADOPI.

L’analyse du code est sans appel, il est possible d’injecter des commandes à distance sur les machines de TMG ou d’empoisonner des mises à jour. Le risque de compromission que nous avions pressenti est maintenant explosé, et exploité, sous forme d’un script Python nommé “Too_Many_Greemlins_exposed_to_the_sunlight.py”

Le Cult of Dead Hadopi, en conclusion, ironise sur le reversing, interdit en France, qui devrait obliger les surveillés à faire une confiance aveugle à ce qu’une société privée met en place comme outils et comme processus pour manipuler leurs données personnelles et servir de bases à l’application de sanctions. Le statut du traitement des adresses IP nécessite une clarification juridique, c’est urgent, Eric Freyssinet le soulignait il y a encore peu de temps.. A notre connaissance, la CNIL étudie les process de manipulation de données personnelles mais est elle juridiquement compétente pour étudier le code ? En tout cas, le Cult of Dead Hadopi prouve une fois de plus l’extrême urgence d’y jeter un oeil attentif. Le débat est fréquemment relancé, comme dernièrement par Cédric Blancher, réagissant à la proposition de loi de la député Marland Militello.

Si le logiciel en question venait, suite à l’audit de la CNIL et de l’HADOPI chez TMG, à être celui qui est utilisé dans le cadre de la riposte graduée, juridiquement, il se pourrait que ce soit toutes les procédures passées qui soient remises en cause.

 

Lecture complémentaire :

Proposition de loi Détraigne/Escofier sur le droit à la vie privée qui aborde le traitement des adresses IP et la communication des entreprises qui voient des données personnelles de tiers fuiter. Cette PPL devrait faire l’objet d’une transposition de directives européennes dans le droit français, ce dans le cadre de la transposition du Paquet Télécom.

 

Source : Reflets.info + article maintenant présent sur Numerama