Hadopi : TMG accusé de négligence caractérisée

Michuisation des inquisiteurs 111
Marc Rees
« C’est tellement énorme que c’est à se demander si TMG n’est pas récemment devenu une filiale de Sony, ou si ce que vous allez découvrir n’est pas un honeypot » : l’introduction du billet de Reflets.info donne immédiatement le ton. Samedi, le site, où l’on retrouve notamment Olivier Laurelli (aka Bluetouff) révèle avoir déniché sur un serveur de TMG des traces possibles d’une négligence très caractérisée.

TMG faille sécurité négligence caractérisée 

TMG, pour mémoire, est la société chargée de flasher les internautes sur les réseaux P2P à la demande des ayants droit. Une fois ces constats validés par les agents assermentés de la SACEM, l’ALPA, la SPPF, la SCPP et la SDRM, tout le processus Hadopi peut démarrer. Autant dire que le moindre couac en amont vicie tout le processus en aval où même le ministère de la Justice demande au Parquet de ne surtout pas procéder à des enquêtes supplémentaires.

Au fil des données, constate Bluetouff, « il y a tout ce qu’il faut pour comprendre comment TMG procède et même plus un exécutable, un password en clair dans un file de config, des hashing torrent des oeuvres surveillées pour piéger les internautes partageurs, les scripts de traitement des logs, les ip des connectés aux peers etc etc… » Bref, du lourd.

Bluetouff indique avoir accédé à ces informations « à portée de clic », donc a priori sans autre outil qu’un navigateur et une souris. Une manière de rappeler la jurisprudence Tati vs Kitetoa (autre membre de Reflets.info), où ce dernier avait été accusé en vain de piratage informatique, alors qu’il révélait la porosité d’un serveur informatique à l’aide d’un simple navigateur.

TMG faille sécurité négligence caractérisée

Pour le cas présent, non sans acidité, Bluetouff se demande s’il ne s’agirait pas d’un vulgaire honey pot, un pot de miel destiné à piéger les internautes, compte tenu de la facilité d’accès à ces informations.

La Hadopi va définir "un protocole d'expertise technique"

Dans le même temps, une liste de hash a été publiée sur PastBin. Selon Numérama, ces données sont issues d’une archive de 5 342 fichiers issue d'un serveur de TMG. « À son ouverture, on découvre pour l'essentiel une grande quantité de fichiers HTML portant comme nom les signatures uniques (hash) de fichiers surveillés par TMG sur BitTorrent, parfois déclinés en trois parties les adresses IP des serveurs qui émettent les fichiers ("publish"), les adresses IP des pairs connectés aux serveurs ("connected peers"), les adresses IP obtenues par échange de sources ("PEX", pour "Peer Exchange") ».

Contacté par ses soins dimanche, la Hadopi affirme « prendre très aux sérieux » cette affaire, sans plus de détail. Beau hasard du calendrier, ce mercredi, la Commission de Protection des Droits de l'Hadopi devrait donc plancher sur un « protocole d'expertise technique » destiné à expertiser TMG.

Une usine à constats sans contrôleur indépendant dénoncée par la CNIL

Cette faille est le couronnement d’un laisser-faire qui fut dénoncé en juin 2010 par la CNIL. Lorsque les ayants-droit réclamèrent leur système de contrôle auprès de la CNIL, un responsable de la Commission critiqua l’absence de validation technique de TMG dans un rapport interne révélé dans nos colonnes : «[on] laisse peu de marges d’appréciation aux agents assermentés, qui sont chargés de constater les potentielles infractions et saisir la Hadopi. Vu le nombre élevé de saisines prévues (25 000 par jour dans un premier temps, puis 150 000 par jour), il est impossible que les agents assermentés vérifient les constatations une à une. Pour autant, le système ne prévoit pas de procédure particulière, par exemple par échantillonnage, pour qu’un agent puisse détecter des anomalies dans une session de collecte. Votre rapporteur regrette qu’une telle procédure ne soit pas mise en place. »

cnil hadopi P2P TMG

Le rapporteur de la CNIL constatait surtout que « l’action de la Hadopi se limitera à accepter ou refuser les constats transmis, sans possibilité de les vérifier. Les premières étapes de la « riposte graduée » (envoi d’email et de lettre recommandée) reposeront donc uniquement sur la collecte opérée par le système de TMG. (…) Il serait préférable que le système de collecte soit « homologué » par un tiers de confiance, pour renforcer la sécurité juridique des constats ». Or, à ce stade, déplorait la CNIL, « les seules procédures d’audit prévues sur le système de TMG sont des audits internes trimestriels par les SPRD. »

Des clients-contrôleurs-victimes

Pour faire un parallèle autoroutier, imaginons un système de radars automatisés dans les mains d’une société privée travaillant pour d’autres sociétés privées, elles-mêmes chargées de vérifier ces radars tous les trimestres. Des clients-contrôleurs qui au surplus pourraient réclamer des dommages et intérêts à partir de ces constats. Voilà comment tout le système Hadopi fonctionne depuis ses débuts sans aucune intervention externe.

En janvier 2011, alors que la seule SACEM avait déjà traité 2,2 millions de constats (!), la HADOPI nous indiquait qu’elle envisageait de nommer un expert judiciaire pour mettre son nez dans cette usine à constats à distance. Cinq mois plus tard, la Hadopi en est encore à envisager de définir un « protocole d’expertise technique », et encore, selon des bruits qui nous parviennent, l’expert ne serait plus un expert judiciaire.

Dans le même temps, l’usine à flashage continue tout en s’appuyant sur le mythe d’une sécurisation informatique que même les meilleurs ne parviennent même pas à satisfaire. MMM déposera-t-elle un nouveau texte pour sanctionner ces défaillances ?