S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

La Hadopi, TMG et la CNIL, un petit point d'étape

125.0.0.7

Quand est ce que s’achèvera le contrôle de la CNIL exercé dans les locaux de TMG ? Le 31 mai, Yann Padova, secrétaire général de la Cnil, avait tablé dans le Point que « dans trois à quatre semaines, nous aurons une idée, et nous nous orienterons soit vers une clôture du dossier, soit vers une mise en demeure, c'est-à-dire une procédure de sanction ». On devrait donc en savoir plus d’ici la deuxième moitié de juin.

hadopi eric walter TMG

Pour rappel, TMG, surveillant chargé de relever des adresses IP pour le compte des ayants droit, avait laissé sans protection l’un de ses serveurs, dans lequel des adresses IP avaient été dénichées. Hadopi suspendait immédiatement son interconnexion avec TMG, laquelle expliquait que l’incident était en substance sans gravité puisqu’il ne s’agissait là que d’un serveur de test. Reste cependant la question des IP.

La question de l'adresse IP


Du côté de la CNIL, la Commission a toujours été convaincue que l’adresse IP est une donnée personnelle. C’est encore marqué en gros titre sur son site.

On voit mal du coup l’autorité indépendante se dédire et estimer que le serveur n’avait pas à être sécurisé même s’il s’agissait d’un serveur de test. À moins, comme le note Bluetouff, qu’il s’agit d’IP de test. Mais une rapide enquête auprès des abonnés concernés devrait lever le doute.

Le scénario reste à choix multiple : au mieux pour TMG, l'affaire est classée. Au pire, l’enquête de la CNIL pourrait conclure à une absence totale de politique de sécurisation, fruit d’une sèche ignorance ou d’une grande désinvolture. Un scénario qui pourrait constater - c'est un pur exemple - le non-isolement physique du serveur de test (et/ou du serveur de production) des autres serveurs de TMG. Il faudra aussi étudier les logs pour voir si d’éventuelles « sondes dormantes » n’ont pas été placées, nous indique un acteur proche du dossier. On devra au final expliquer la présence de ces IP trop récentes, et s’enquérir des mesures de protection qui avaient été apposées sur les structures internes de TMG.

Puisque l’on parle de désinvolture, en juin 2010, dans un rapport dévoilé dans nos colonnes, la CNIL reprochait l’absence de tiers de confiance pour contrôler le radar des ayants droit. Un texte signé Emmanuel de Givry, vice-président délégué de la CNIL qui fut totalement ignoré par la Hadopi.

Quatre mois plus tard, dans le chat du Parti Pirate en octobre 2010, Eric Walter promettait finalement « nous avons prévu nous-même d'auditer TMG dans ces opérations, et la CNIL, à ma connaissance, peut effectuer également les vérifications qu'elle souhaite dans le cadre de ses compétences ».

Interrogée par nos soins, la CNIL nous éclairait que son contrôle porte davantage sur « le traitement de l’information plus que la manière dont il est réalisé », davantage sur «le fichier qui en résulte plus que sur les moyens ».

En janvier, trois mois plus tard, soit sept depuis la mise en cause par la CNIL, la commission de protection des droits réaffirmait la promesse d’octobre : un expert judiciaire serait nommé très prochainement pour mettre son nez chez TMG.

Surpris du désert de nouvelle sur ce sujet, nous interrogions Eric Walter en mars 2011 toujours sur ce thème. « Ce n’est pas encore fait et la Commission de protection des droits est en train d’organiser, elle l’avait annoncé, un certain nombre de vérifications chez TMG ». C’était neuf mois après l’alerte émise par la CNIL.

On connait la suite : le 16 mai, des internautes trouvaient finalement la brèche de sécurité chez TMG. Le 17 mai, la SCPP (Universal, etc.) nous avouait ne pas avoir contrôlé TMG, son client, depuis la mise en production du relevé des IP. Le 18 mai, Hadopi promettait, cette fois pour de bon, de faire ce contrôle attendu en parallèle avec celui de la CNIL depuis juin 2010.

Une situation « totalement folle » regrette un contact proche du dossier. « Quand on laisse une affaire pendante, on ne peut se plaindre quand elle tombe au mauvais moment ! ». Référence faite au sale hasard du calendrier de cette faille découverte quelques jours avant l’ouverture du eG8.

Risque de dichotomie

Mais le plus importante est à venir. Dans quelques semaines, la CNIL et la Hadopi pourront diffuser leur rapport, puisque chacune des autorités aura mené son enquête chez TMG, dans son domaine de compétence. Il y a du coup un risque de dichotomie : imaginons d’un côté, un rapport de la CNIL aussi terrifiant que possible avec un contenu décrivant une situation aberrante. Et de l’autre côté, un rapport de la Hadopi pêchant par excès d’angélisme et concluant dans la parfaite sécurisation des serveurs de TMG.

Dans tous les cas de figure, toute l’attention sera portée sur la CNIL qui devra faire preuve d’indépendance dans sa mission, malgré d'éventuelles pressions atmosphériques.

3 millions d'euros pour le label Offre légale

En attendant, les efforts de l’Hadopi se sont surtout concentrés sur la promotion et la communication. Ce matin, la Hadopi organisait un cocktail « VIP » pour le lancement du label Offre Légale, avec des ayants droit mais également Olivier Henrard, architecte d’Hadopi. Ce label destiné à pousser l’offre légale à coup de logo est chiffré à 3 millions d’euros en tout.
Marc Rees

Journaliste, rédacteur en chef

Google+

Publiée le 06/06/2011 à 16:07

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;