Hadopi : les fuites de TMG proviendraient d’un serveur de test

Embarrassé par les révélations d’un blogueur sur l’absence de sécurisation des données relevées dans le cadre de la lutte contre le piratage, le prestataire TMG évoque un serveur de test. Sacrément bien fourni…

L’affaire pourrait embarrasser la Hadopi et le gouvernement. Mais TMG se défend. Selon un article d’Olivier Laurelli (dit « Bluetouff« ) publié le 13 mai sur Reflets.info sur la foi d’un internaute anonyme (« BH »), il est possible d’accéder à un serveur non protégé de Trident Media Guard. TMG s’inscrit comme le prestataire technique en charge de mener la traque des internautes sur les réseaux P2P au nom des ayants droit dans le cadre de la « riposte graduée » de la législation Hadopi. rappelle ITespresso.fr

A l’aide d’un simple navigateur, n’importe quel internaute pouvait accéder à un logiciel de partage P2P, un mot de passe en clair, une liste des « hash » des fichiers .torrent surveillés, des scripts de traitement automatique…et surtout des milliers d’IP de présumés pirates. « Nous allons donc, de manière responsable, laisser TMG corriger ce qui ressemble quand même vachement à une négligence ultra caractérisée », commente Bluetouff de manière sarcastique. De son côté, la Hadopi a déclaré « prendre l’affaire très au sérieux ».

Mais l’institution en charge de la lutte anti-piratage assure qu’elle ne va pas imposer un moratoire sur les activités de collecte des adresses IP que TMG réalise pour le compte des ayants droit. Surtout au moment où la loi commence à présenter des résultats positifs. Même TMG prend directement la parole. Alain Guislain, P-DG et co-fondateur de TMG, a envoyé un mail d’explication à la rédaction d’ITespresso dans lequel il minimise la portée de l’incident. « Des données appartenant à la société TMG ont été éditées ce week-end sur Internet. Ces données  proviennent d’un serveur de tests de la société dédié à son équipe de R&D. »

Rien de dramatique donc, et certainement pas de quoi empiéter sur les activités du prestataire : « A aucun moment, les infrastructures utilisées par TMG dans le cadre de ses opérations n’ont été impactées, en particulier la plate-forme dédiée à la collecte d’infractions sur les réseaux P2P pour le compte des ayants-droits dans le cadre de la loi HADOPI. » Alain Guislain le soutien mordicus : «Aucune donnée confidentielle et personnelle n’a été éditée sur Internet. Les infrastructures de production de la société TMG, spécifiquement celles dédiées à la collecte sur Internet, sont sécurisées et non compromises. »

Pourtant, dimanche, Numerama avait souligné une anomalie. Une source se revendiquant d’Anonymous France leur a transmis une liste des hashs trouvés sur ces serveurs non sécurisés et publiés sur PastBin. Ces hashs incluent de nombreux fichiers protégés par le droit d’auteur, mais ne sont probablement pas liés à l’activité Hadopi de TMG. Il s’agit en effet principalement de films américains en VO et d’albums de musique, qui intéressent peu les ayants droit français. Mais des IP françaises font bien partie de ces fichiers.

Numerama fait remarquer que « ces fichiers révèlent aussi peut-être des failles dans la procédure de collecte ». « On voit en effet TMG collecter des données sur des fichiers qui n’ont a priori aucun intérêt, comme des fonds d’écran à la gloire de Michael Jackson. Or ces derniers ayant dans leur nom les mots clés ‘This Is It’, on imagine qu’ils ont été automatiquement ajoutés à la liste des fichiers surveillés sans que le contenu soit vérifié. »

Coïncidence : la Commission de protection des droits (CPD) de la Hadopi a prévu de se réunir mercredi prochain (18 mai) pour établir un « protocole d’expertise technique » afin de contrôler les activités de TMG. Une démarche qui intervient alors que la CNIL avait émis des recommandations en septembre 2010, dont un audit « objectif et indépendant » sur ce point.