Trident Media Guard (TMG) a laissé fuiter des milliers de fichiers confidentiels (5342 exactement). En réponse à cela la Haute Autorité préfère suspendre sa riposte graduée...
La société TMG a pour mission de collecter les adresses IP des internautes qui s'adonnent au téléchargement illégal, dans le cadre du dispositif Hadopi. Sauf que si elle fait la Une des médias aujourd'hui, ce n'est pas pour ses bons résultats, mais parce qu'elle vient de commettre une énorme bourde.
L'entreprise a ainsi publié accidentellement de très nombreux fichiers confidentiels, d'après Numérama, qui se rapportent à la surveillance de fichiers qui s'échangent sur BitTorrent, et des adresses IP liées. «Il s'agit le plus souvent d'adresses IP étrangères (américaines, suédoises, italiennes...), mais certaines adresses IP présentes dans les "connected peers" renvoient bien parfois à des internautes français», affirme le site à l'origine des révélations.
Négligences de sécurisation des serveurs TMG
Comment une telle fuite a pu être possible ? Visiblement, cela serait dû à des négligences de sécurisation des serveurs de TMG, que le blogueur Bluetouff a repérées samedi : sur ces serveurs, «il y a tout ce qu’il faut pour comprendre comment TMG procède et même plus un exécutable, un password en clair dans un file de config, des hashing torrent des oeuvres surveillées pour piéger les internautes partageurs, les scripts de traitement des logs, les ip des connectés aux peers etc etc…» ; explique-t-il.
Pire, il semblerait qu'il ait eu accès à ces informations d'un simple clic de souris, comme n'importe quel internaute pourrait le faire.
D'après Numérama, il s'agirait d'une erreur qui a mené l'un des serveurs de TMG à se retrouver sans protection samedi. De son côté, secouée par l'affaire, l'Hadopi déclare la prendre «très au sérieux».
Hasard du calendrier (ou pas), dans deux jours la Commission de Protection des Droits de l'Hadopi a prévu de travailler sur la mise au point d'un « protocole d'expertise technique » sur les pratiques de TMG.
URGENT : Suite aux récents évènements, l'Hadopi a décidé de suspendre ses relations avec TMG, ce qui implique une suspension de la riposte graduée, au moins provisoirement. Car si plus personne ne communique d'adresses IP à la Hadopi, à qui enverra-t-elle ses sanctions ? Pour l'instant, la Haute Autorité va continuer à envoyer des e-mails aux internautes dont on lui a déjà communiqué les adresses, mais ensuite ?
L'information a été confirmée officiellement ce lundi, par Eric Walter (secrétaire général de l'Hadopi) sur son Twitter : «par mesure de précaution l'Hadopi a décidé de suspendre provisoirement son interconnexion avec TMG».
Les relevés d'adresses IP ne seront donc plus transmis par TMG.
Mais l'histoire va-t-elle s'arrêter là ? Car d'après plusieurs rumeurs, la CNIL pourrait en être assez agacée pour vouloir y mettre son grain de sel.
En tous les cas, une chose est sûre : tout téléchargement effectué à partir de maintenant sera sans risque de représailles, car TMG ne collecte plus les adresses IP des contrevenants (elles doivent être transmises sous 24h maximum à la Haute Autorité).
On ne sait pas encore combien de temps durera cet arrêt du volet répressif. Si la CNIL supprime son autorisation de collecte, elle pourrait bien durer pour toujours...