Peut-on exiger des internautes qu’ils sachent sécuriser leur accès à Internet, sans être soi-même un modèle de sécurisation ? Pour mettre en évidence la contradiction, le président du Parti Pirate a exploité une faille du site de l’Hadopi qui lui a permis d’utiliser le formulaire de recherche des offres légales pour trouver des fichiers sur le site The Pirate Bay.

Mise à jour : la faille a été corrigée en milieu de matinée ce mercredi. Preuve que l’Hadopi sait être réactive.

Le président du Parti Pirate, Paul Da Silva, s’est bien amusé. Avec le plus grand sérieux. Mardi, nous vous expliquions que pour accorder ses futurs labels d’offres légale aux premiers candidats (Deezer, Beezik et VidéoAVolonté.com), l’Hadopi avait trahit les textes réglementaires en préférant mettre en place un moteur de recherche des œuvres plutôt qu’en publiant la liste complète des œuvres à labelliser. Or ce moteur de recherche n’est pas sécurisé.

Sauf correction entre le moment où nous publions ces lignes et le moment où vous les lisez, le fait de passer par ce lien conduit vers le moteur de recherche de l’Hadopi, au comportement étrange. Lors de la saisie, le moteur se transforme en recherche sur The Pirate Bay, et les résultats affichés sont ceux du célèbre site de liens BitTorrent. La faute à une faille XSS qui permet d’injecter du code dans les URL et de modifier le comportement des pages. Que ce soit pour conduire vers TPB, ou faire autre chose de plus discret ou mal intentionné. Ca n’est pas le site de l’Hadopi qui est compromis, mais la sécurité de ceux qui visiteraient de bonne foi le site de l’Hadopi par un tel lien modifié, qu’ils auraient reçu, par exemple, par e-mail.

Or comme l’explique Paul Da Silva sur son blog, cette faille n’est pas anodine venant de l’Hadopi. C’est la deuxième fois qu’une telle faille est décelée sur Hadopi.fr. Or, « rappelons que la Hadopi demande à chaque personne de sécuriser son accès à Internet, ce qui, si c’était possible, révèlerait de qualifications d’un ingénieur en sécurité réseau« , rappelle le président du Parti Pirate. Il souhaitait donc « savoir si [l’Hadopi], avec ses moyens, s’appliquait lui même la rigueur qu’il exige de monsieur et madame tout le monde« , ce qui n’est pas le cas.

« Là où on pourrait croire que la Hadopi aurait tiré les leçons de la première démonstration, j’ai pu trouver hier, en 6mn30, une nouvelle faille sur le site de l’autorité… Selon la loi il s’agit donc du second avertissement… Au prochain il faudra songer à couper la connexion chez Hadopi ?« , demande Paul Da Silva.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !