Nos amis de TechDirt ont découvert un trou de sécurité énorme et amusant sur le site de BayTSP – l’équivalent américain de CopperRight Agency ou Advestigo – une société qui surveille les réseaux peer to peer pour ensuite émettre des injonctions demandant le retrait de matériaux copyrightés (à noter qu’en France, la procédure serait de dénoncer les coupable à l’Hadopi, en plus de les menacer, double peine Hadopi oblige).
BayTSP, une société Californienne, connue pour émettre des injonctions de justice à tout va dès qu’elle détecte un contenu protégé par le copyright sur les réseaux P2P, a automatisé les plaintes en envoyant aux individus qui commettent des infractions des formulaires au nom des ayants droits, les informant des risques encourus et de l’infraction qui leur est reproché (en France, on n’informera pas de l’infraction, il faudra croire sur parole les agence de surveillance et de police privé telles que CopeerRight agency et Advestigo).
Le processus consiste à envoyer à celui qui a commis une infraction une url le renvoyant à un ‘système de réponse web à l’infraction’. La page derrière l’url contient un formulaire avec un numéro d’identification de l’infraction, l’email, l’adresse IP, le DNS, et l’url qui identifient l’infraction et celui qui l’a commise.
Si ces informations étaient sécurisées, cela resterait du domaine de la privatisation de la police, mais c’est loin d’être le cas. La totalité du site de BayTSP a été laissé à la discrétion de Google qui s’est empressé de l’indexer dans sa totalité, laissant quiconque y fouiller à la recherche d’informations privées et, pour les moins honnêtes, de stratagèmes à mettre en oeuvre pour piéger de nouvelles victimes.
Une simple recherche Google sur le terme “‘infringement information’ site:baytsp.com” fait remonter des résultats intéressants. La plupart des pages ont été retirés à l’heure ou j’écris ces lignes, mais les versions en cache restent accessibles :
Oups !
Non seulement les formulaires sont accessibles via Google et donc au monde entier, mais ces mêmes formulaires peuvent être remplis et envoyés en ligne par n’importe qui.
Les plus mal intentionnés pouvaient ainsi envoyer des injonction judiciaires à n’importe qui (et ne s’en sont pas privé). Qui plus est, le site pouvait être hacké via des script malicieux afin d’envoyer via les injonctions des virus.
Bien que cette nouvelles débâcle ne soit qu’une péripétie de plus dans la catastrophe en terme de relations publique qui touche l’industrie culturelle américaine, elle montre que les sociétés comme AdVestigo ou CopeerRight Agency vont avoir du fil a retordre si elle ne veulent pas être demain des cibles de choix pour les hacktivistes de tout poils.
A lire également :
- Les anti-pirates infestent les pirates avec un Trojan ...
- Youtube valorise les contenus piratés ...
- Les Pirates déclarent la guerre… à la France ? ...
- Les Pirates sont-ils les martyrs du Midem ? ...
- Wisafe lance l’assurance anti Hadopi ...
- Le Réseau des Pirates milite pour un Pacte des Libertés numériques ...
- Les artistes anglais contre la criminalisation des pirates ...
21 mai 2009 à 9:12
C’est “infringement information’ site:baytsp.com” et non infringment.
21 mai 2009 à 10:04
oups… c’est corrigé ;-)
Un détail me fait tiquer Xavier… votre ISP est assez pourri, quelqu’un de votre calibre se devrait tout de même d’avoir quelque chose de plus cool, non ?
Auteur : xavier niel (IP : 90.61.215.XXX , APuteaux-755 – 1-32 – 199.w90-61.abo.wanadoo.fr)
21 mai 2009 à 10:37
En même temps, des Xavier Niel, il n’y en a pas qu’un seul en France … et il y en a même peut-être au moins un abonné à Wanadoo… oops.. Orange :)
21 mai 2009 à 10:45
Oui, mais celui-ci renvoi une “Delivery Status Notification Failure” quand on lui écrit :-)
Fait gaffe Xavier, avec Loppsi, tu peux te retrouver en taule pour ça !
21 mai 2009 à 10:48
Du coup, je réalise que les noms des passerelles (pas sûr du terme) sont toujours brandées Wanadoo… M’est avis que le service Marque et les techniciens ne se causent pas beaucoup chez Orange… C’est pas chez Free qu’on aurait ce genre de couac :-)
21 mai 2009 à 11:57
noms des passerelles -> reverse dns
21 mai 2009 à 15:55
En même temps, je crois que si on commence à compter les conneries déblatérées par les acteurs de l’”industrie cinématographique” (leurs copains de l’industrie de la musique ne sont pas plus intelligents), on est pas arrivés.
Cf ça : http://www.pcinpact.com/actu/news/50707-realdvd-copie-pirate-dvd-mpaa.htm?vc=1
28 mai 2009 à 10:45
“La plupart des pages ont été retirés à l’heure ou j’écris ces lignes”
En tout cas de nouvelles pages continuent à s’afficher :
http://webreply.baytsp.com/webreply/webreply.jsp?customerid=335&commhash=b2ac4f7b9cef5b76869615223fc1becf
(dernier “infringement” du 27 mai 2009).
S’agit-il d’un faux ?
28 mai 2009 à 15:32
ben au 28 mais elle n’est désormais plus en ligne :-)
28 mai 2009 à 19:17
Bonjour à tous,
Le 14 mai dernier j’ai lu ça, et aujourd’hui je lis votre article…
http://www.contrefaconnumerique.fr/2009/05/13/la-riposte-des-hacktivistes-2/
Il aurait été interressant de developper davantage, comme ce blog spécialisé l’a semble t’il fait…
Bénédicte
29 mai 2009 à 8:36
Dites moi, les premiers à s’est fait hacké ses serveurs dans le petit monde des Anti Pirate, ce sont bien les Advestigo, fer de lance de la SACEM, ALPA, SCPP, SPPF…
http://fr.readwriteweb.com/2009/05/21/divers/les-technologies-anti-pirates-piratees/#comments
Au moins ils sont premier pour quelque chose ;)
29 mai 2009 à 8:44
le lien ne serait pas :
http://ovh1.zataz.com/news/7851/advigilante.html
29 mai 2009 à 12:40
@bénédicte
Vous touchez un point intéressant : pourquoi Diable irai-je développer de façon plus détaillé ce que Zataz fait parfaitement ? Ni eux ni moi ne somme dans une course à l’audience, ni eux ni moi ne monétisons nos contenus, dès lors, c’est plutôt une complémentarité qui se développe. Pas facile à comprendre si on sort de l’univers de la presse, mais c’est ce qu’il se passe, typiquement sur des sujets comme Loppsi ou Hadopi, entre des acteurs comme rww et Zataz, numérama, pcimpact, etc.
Si vous revenez en arrière sur ces 9 derniers mois, vous verrez que nous avons très rarement traité des même sujets et qu’une complémentarité s’est installée naturellement. Encore une fois, je ne suis pas du tout concurrent de ces autres blogs, et s’il font mieux que moi (et pour ce qui est de la sécurité, difficile de faire mieux que Zataz), le seul reproche qui puisse tenir c’est de ne pas avoir proposé de lien vers une article précis vers eux.
@aware
Les premières attaques sur des techno anti pirates dantes de 2006 à ma connaissance, Torrentfreak.com est une excellente ressource pour ce genre d’infos. Considérons que tout cela n’est qu’un tour de chauffe, car ce qui va arriver, en terme d’attaque de hacker contre les techno antipirate, sera d’une ampleur comme nous n’en avons jamais connu. Attendez vous aussi à voir les hacker affublés du terme terroriste, et tomber sous le coup de mesures d’exception et de la loi Loppsi (encore des gamins de 15 ans foutus en taule, on commence avec un vol de vélo, et voià où cela mène ;-)