Trident Media Guard (TMG) est la société nantaise au cœur du dispositif de répression Hadopi, puisque c’est elle qui mène la chasse aux téléchargements illégaux sur la Toile. Léger hic, certaines des informations collectées par TMG ont été librement accessibles par Internet, sans la moindre protection. Voilà qui fait désordre !
C’est Olivier Laurelli (aka Bluetouff), le spécialiste en sécurité des réseaux et néanmoins sympathique bloggeur, qui a mis le doigt où ça fait mal : avec un simple ordinateur et une connexion ordinaire, il a pu se connecter sans entrave à un serveur de TMG, l’entreprise qui a pour mission d’identifier les adresses IP dans le cadre du dispositif Hadopi. Sur ce serveur étaient consultables des données collectées par la société nantaise, dont des adresses IP d’internautes, des informations sur les œuvres surveillées, des indices quant au traitement des données, un fichier d’installation de logiciel (possiblement celui qui sert à surveiller les réseaux P2P), et un mot de passe écrit en clair !
TMG est un maillon important de la chaîne de répression (riposte graduée) Hadopi : à la demande, les ayants droit mandatent TMG. La société privée se connecte alors aux réseaux peer-to-peer et collecte les adresses IP des ordinateurs soupçonnés de téléchargement illégal. Ces données sont ensuite transmises à la Hadopi, qui décide de sanctionner ou non : un premier avertissement par mail, un second par courrier recommandé, puis si besoin des poursuites judiciaires pouvant amener l’internaute fraudeur à payer une amende ou se voir suspendre son abonnement Internet.
Le dispositif Hadopi est critiqué à bien des égards, sur le fond comme sur la forme. Panoptinet s’est d’ailleurs plusieurs fois exprimé sur la problématique de la sécurisation des réseaux domestiques (notamment Wi-Fi)*, peu et mal traitée par la Haute Autorité. Cette intrigue est un nouveau pavé dans la mare, décrédibilisant encore un peu plus la solution adoptée par la France pour protéger le droit d’auteur.
Pour sa défense, TMG assure que ce serveur non-verrouillé est en réalité un serveur de test, à partir duquel aucune information privée ou sensible n’aurait fuité. Sauf que les adresses IP retrouvées ne sont pas fictives… La CNIL (Commission Nationale de l’Informatique et des Libertés), qui avait déjà demandé (en vain) des garanties sur cette exploitation privée, devra trancher : elle se déplacera elle-même dans les locaux de TMG.
En attendant, la Hadopi a d’ores et déjà suspendu ses « interconnexions » avec TMG. Quant à Bluetouff, il devrait rencontrer des représentants de la Haute Autorité ce mercredi, pour évoquer la « négligence caractérisée » à l’origine de cette tempête médiatique.
* Les articles suivants sont toujours consultables :
La sécurisation selon Hadopi (10 mai 2011)
Hadopi planche sur la sécurisation (21 avril 2011)
Hadopi : répression, offre légale. Et la sécurité ? (2 mars 2011)
Le risque du téléchargement illégal involontaire (9 novembre 2010)
Sources :
Le Monde
Reflets
Clubic
Aucun commentaire