Actualités > Sécurité

TMG, le chasseur de pirates de la Hadopi, sur la sellette

L'entreprise qui surveille les réseaux de P2P pour le compte des ayants droit a laissé des informations sensibles librement accessibles sur un de ses serveurs durant quelques jours.

Eric Le Bourlout

01net

le 16/05/11 à 18h40

9 réactions

envoyer
par mail

imprimer
l'article

Partager |

Mise à jour à 19 h 40 : la Hadopi reste prudente, TMG nie tout risque

La Haute Autorité nous a indiqué il y a quelques minutes avoir appliqué le « principe de précaution » pour justifier la coupure de son interconnexion avec TMG, dans l’attente de savoir exactement ce qui s’est passé. « Il y a eu une faille de sécurité dont on ne connaît pas l’étendue et on ne veut pas prendre de risque, on veut être sûr de notre coup », commente Eric Walter, son secrétaire général, tout en précisant qu’il « faut éviter toute conclusion hâtive ».

Attention, cela n’empêche pas pour autant la Hadopi de travailler, même si elle cesse temporairement de recevoir de nouvelles adresses IP. « Nous conservons le premier constat pendant deux mois, on a de quoi faire », assure M. Walter. Prochaine étape : un examen de la méthode de collecte des IP par TMG devrait débuter sous une dizaine de jours. « Il est urgent de faire un audit des techniques utilisées par TMG », indique la Hadopi, qui dit par ailleurs discuter aussi avec la Cnil de ces questions.

TMG s’explique

De son côté, TMG se veut rassurant. Le patron de la société, Alain Guislain, que nous avons joint par téléphone en fin d’après-midi, affirme que la plate-forme utilisée pour la surveillance du P2P dans la cadre de la loi Hadopi n’a en aucun cas été compromise. Il reconnaît cependant que l’un de ses serveurs internes s’est retrouvé en libre accès le week-end dernier. « C’est un serveur de test pour lequel nous n’avions pas de raison de renforcer la sécurité. Nous sommes en train d’enquêter pour savoir ce qui s’est passé », affirme-t-il.

Dans un communiqué, la société précise par ailleurs qu’aucune donnée confidentielle ou personnelle n’a été diffusée sur Internet. Le patron de TMG estime que la Hadopi « a été un peu vite en besogne » en suspendant l’interconnexion avec ses serveurs. Il estime que tout rentrera dans l’ordre d’ici à quelques jours, et se déclare confiant quant à l’audit de sécurité que la Hadopi doit mener prochainement.

E. Le B. et S. L.

Est-ce une énorme boulette qui aura des conséquences pour la Hadopi* ? La Haute Autorité vient en tout cas de suspendre sa connexion avec le réseau de Trident Media Guard (TMG), la société chargée de relever les adresses IP d'internautes soupçonnés de téléchargement illicite sur les réseaux de peer to peer (P2P). Eric Walter, son secrétaire général, l'a confirmé sur son compte Twitter (voir la capture ci-dessous), en précisant que cela ne remettait pas en cause, pour l'instant, l'envoi de messages d'avertissement aux pirates présumés.

Motif de cette suspension : durant plusieurs jours, une quantité importante d’informations seraient restées accessibles, sans protection, sur un des serveurs de TMG. Il s'agirait notamment de signatures de fichiers torrents surveillés, d'un logiciel maison, d'un mot de passe et surtout de milliers d’adresses IP d’internautes relevées par ses soins.

C'est ce qu’a révélé ce week-end, captures d’écran à l’appui, Olivier Laurelli (alias Bluetouff) sur le site collaboratif reflets.info. Les informations sensibles étaient si nombreuses que le blogueur s’est même demandé, samedi 14 mai, si toutes ces données ne constituaient pas un honeypot (un « pot de miel », autrement dit un piège) tant elles étaient faciles à obtenir : les fichiers découverts se trouvaient en effet à la racine d’un serveur Web, sans protection aucune.

Bluetouff bientôt entendu par la Hadopi

Nous avons contacté TMG pour obtenir sa réaction à propos de ces accusations, mais aucun porte-parole n’était disponible ce matin pour répondre à nos questions. Le site Numerama, qui a contacté la Hadopi, rapporte par ailleurs que la Haute Autorité « prend très au sérieux cette affaire ». Eric Walter, le secrétaire général de l'institution, confirmait ce lundi après-midi, dans un tweet, que Bluetouff serait entendu par la commission de protection des droits de la Hadopi mercredi.

L’affaire a en tout cas pris de l’ampleur depuis les révélations de Bluetouff. Une liste de fichiers prétendument surveillés par TMG circule sur le Web, bien que l’on ne sache pas s’il s’agit de ceux que la société scrute en France pour le compte des ayants droit ou s’ils ont trait à certaines de ses activités annexes. D’autre part, reflets.info indiquait ce matin que le logiciel utilisé par TMG pour piéger les internautes sur les réseaux P2P serait disponible sur plusieurs sites de téléchargement. Un programme qui, toujours selon le site, contiendrait « tout ou partie des faux utilisateurs utilisés par TMG sur les réseaux P2P ».

Cette affaire est un coup porté non seulement à TMG, seule entreprise autorisée par la Cnil à collecter les adresses IP des internautes, mais aussi à la Hadopi et au dispositif antipiratage français, qui confie à une société privée le rôle de surveiller l'activité des citoyens sur les réseaux de P2P.

* Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet.

Actu précédente

Une faille de Facebook dévoile les données personnelles des membres

Actu Suivante

Faille de sécurité sur Android : Google diffuse un correctif [MAJ]

9 AVIS SUR CET ARTICLE

Avis sur «TMG, le chasseur de pirates de la Hadopi, sur la sellette »

Trier par

...

de jrozhe , posté le 16 mai 2011 à 22h21

Bah, bien. Autant ne pas securisé les serveur de test ...
Heureusement qu ils ne sont pas dans le "genie" militaire

alerter le modérateur

Scandaleux

de Sérieusement , posté le 17 mai 2011 à 06h29

Là il ne s'agit pas de sécurité mais des plus élémentaires bonnes pratiques dans la gestion d'un site web. Mais les autres informations sont troublantes : le logiciel utilisé pour la traque à la disposition du citoyen "lambda" : Scandaleux.

alerter le modérateur

Bon à savoir

de Winger Chang , posté le 17 mai 2011 à 01h42

Dans la liste des oeuvres surveillés par TMG figurait un wallpaper de Michael Jackson nommé This is it, wallapper non officiel qui avait juste le tord de s’appeler This is it.

alerter le modérateur

et ca se dit 'organe de sécurité de la République' !

de Jade83 2 , posté le 17 mai 2011 à 09h47

à part coûter très cher au contribuable (donc nous tous), quel est l'apport de cet Hadopi et de ses prestataires bidons qui se font hacké si facilement ?!?
quand on veut faire de la 'sécurité', on s'en donne les réels moyens, on ne confie pas CA à son copain ou son gendre (cooptation) !

alerter le modérateur

ridcule

de vect0 , posté le 17 mai 2011 à 10h57

Déjà qu'a la base je suis contre, quand je vois leur incompétence cela me fait bcp rire. Au final c'est les citoyens banals qu'il dérange car les personne qui pose véritablement problème ne seront jamais attrapé vu l'efficacité des entreprises avec laquel hadopi travail.

alerter le modérateur

Trier par

9 AVIS SUR CET ARTICLE