Pour gérer vos consentements :
Categories: Sécurité

Hadopi : les fuites de TMG proviendraient d’un serveur de test

L’affaire pourrait embarrasser la Hadopi et le gouvernement. Mais TMG se défend. Selon un article d’Olivier Laurelli (dit « Bluetouff« ) publié le 13 mai sur Reflets.info sur la foi d’un internaute anonyme (« BH »), il est possible d’accéder à un serveur non protégé de Trident Media Guard. TMG s’inscrit comme le prestataire technique en charge de mener la traque des internautes sur les réseaux P2P au nom des ayants droit dans le cadre de la « riposte graduée » de la législation Hadopi. rappelle ITespresso.fr

A l’aide d’un simple navigateur, n’importe quel internaute pouvait accéder à un logiciel de partage P2P, un mot de passe en clair, une liste des « hash » des fichiers .torrent surveillés, des scripts de traitement automatique…et surtout des milliers d’IP de présumés pirates. « Nous allons donc, de manière responsable, laisser TMG corriger ce qui ressemble quand même vachement à une négligence ultra caractérisée », commente Bluetouff de manière sarcastique. De son côté, la Hadopi a déclaré « prendre l’affaire très au sérieux ».

Mais l’institution en charge de la lutte anti-piratage assure qu’elle ne va pas imposer un moratoire sur les activités de collecte des adresses IP que TMG réalise pour le compte des ayants droit. Surtout au moment où la loi commence à présenter des résultats positifs. Même TMG prend directement la parole. Alain Guislain, P-DG et co-fondateur de TMG, a envoyé un mail d’explication à la rédaction d’ITespresso dans lequel il minimise la portée de l’incident. « Des données appartenant à la société TMG ont été éditées ce week-end sur Internet. Ces données  proviennent d’un serveur de tests de la société dédié à son équipe de R&D. »

Rien de dramatique donc, et certainement pas de quoi empiéter sur les activités du prestataire : « A aucun moment, les infrastructures utilisées par TMG dans le cadre de ses opérations n’ont été impactées, en particulier la plate-forme dédiée à la collecte d’infractions sur les réseaux P2P pour le compte des ayants-droits dans le cadre de la loi HADOPI. » Alain Guislain le soutien mordicus : «Aucune donnée confidentielle et personnelle n’a été éditée sur Internet. Les infrastructures de production de la société TMG, spécifiquement celles dédiées à la collecte sur Internet, sont sécurisées et non compromises. »

Pourtant, dimanche, Numerama avait souligné une anomalie. Une source se revendiquant d’Anonymous France leur a transmis une liste des hashs trouvés sur ces serveurs non sécurisés et publiés sur PastBin. Ces hashs incluent de nombreux fichiers protégés par le droit d’auteur, mais ne sont probablement pas liés à l’activité Hadopi de TMG. Il s’agit en effet principalement de films américains en VO et d’albums de musique, qui intéressent peu les ayants droit français. Mais des IP françaises font bien partie de ces fichiers.

Numerama fait remarquer que « ces fichiers révèlent aussi peut-être des failles dans la procédure de collecte ». « On voit en effet TMG collecter des données sur des fichiers qui n’ont a priori aucun intérêt, comme des fonds d’écran à la gloire de Michael Jackson. Or ces derniers ayant dans leur nom les mots clés ‘This Is It’, on imagine qu’ils ont été automatiquement ajoutés à la liste des fichiers surveillés sans que le contenu soit vérifié. »

Coïncidence : la Commission de protection des droits (CPD) de la Hadopi a prévu de se réunir mercredi prochain (18 mai) pour établir un « protocole d’expertise technique » afin de contrôler les activités de TMG. Une démarche qui intervient alors que la CNIL avait émis des recommandations en septembre 2010, dont un audit « objectif et indépendant » sur ce point.

Recent Posts

DMA, DSA : une régulation à la hauteur des « Big Tech » ?

Le Parlement européen a définitivement adopté le DMA et le DSA ce 5 juillet. Des…

3 heures ago

DevSecOps : Snyk plie mais ne rompt pas

Snyk rejoint la liste de licornes de la cybersécurité qui réduisent leurs effectifs pour affronter…

19 heures ago

Scribe : les enseignements à tirer de l’échec de ce projet d’État

Un seul logiciel pour la rédaction des procédures entre police et gendarmerie. C'était l'objectif du…

20 heures ago

HackerOne : quand un initié détourne le bug bounty

Un employé de HackerOne aurait exploité à des fins personnelles des rapports de sécurité soumis…

1 jour ago

Jean-Noël Barrot, nouveau ministre délégué chargé du numérique

Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…

2 jours ago

Cloud : Microsoft peine à se convertir à sa « nouvelle expérience commerciale »

Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…

2 jours ago