Hadopi : "nous ignorons ce qu'il se passe réellement dans les serveurs de TMG"

Boite noire 34
Marc Rees
Alain Guislain, P-DG et co-fondateur de TMG, a réagi à la tempête qui s’abat sur son entreprise suite à la découverte de faille de sécurité sur au moins l’un de ses serveurs.

Un serveur de tests


Dans une lettre adressée à ITexpresso, l’intéressé confirme la fuite mais tente immédiatement de calmer les esprits : « des données appartenant à la société TMG ont été éditées ce week-end sur Internet. Ces données proviennent d’un serveur de tests de la société dédié à son équipe de R&D. »

Le numéro 1 de TMG ajoute qu’ « à aucun moment, les infrastructures utilisées par TMG dans le cadre de ses opérations n’ont été impactées, en particulier la plate-forme dédiée à la collecte d’infractions sur les réseaux P2P pour le compte des ayants-droits dans le cadre de la loi HADOPI. » Autre assurance : « aucune donnée confidentielle et personnelle n’a été éditée sur Internet. Les infrastructures de production de la société TMG, spécifiquement celles dédiées à la collecte sur Internet, sont sécurisées et non compromises. »

Évidemment, puisque les serveurs de la société fonctionnent comme une boite noire, impossible de certifier ces affirmations. Des affirmations qui n’ont d’ailleurs pas exactement le même parfum du côté des ayants droit.

Des pirates, un serveur non sécurisé


Marc Guez, de la SCPP, le plus puissant des syndicats des producteurs de musique, a envoyé la lettre suivante à tous les producteurs membres, lettre relayée par Electron Libre :

"Cher tous,

Suite à l’information publiée dans la presse sur le piratage d’un serveur de TMG, TMG nous a informés que le serveur effectivement piraté était un serveur de tests de TMG (sans lien avec les traitements HADOPI), qui n’était pas protégé car ne contenant pas d’infos confidentielles.

Les serveurs TMG utilisés pour l’HADOPI n’ont pas été piratés et aucune donnée confidentielle n’a donc fuité à l’extérieur de TMG ou de l’HADOPI.
TMG doit faire un communiqué de presse à cet effet.

Marc GUEZ
"

On évoque ici un serveur piraté qui n’était pas protégé. En somme, dans la logique des ayants droit, les pirates sont ceux qui ont visité ces infrastructures, mais sans rien reprocher formellement au propriétaire des locaux qui ne les avait pas protégées. Une affirmation qui doit être relativisée.

Dans le rapport de la CNIL dévoilé sur PC INpact, il était explicitement dit que « les seules procédures d’audit prévues sur le système de TMG sont des audits internes trimestriels par les SPRD » (Sociétés de perception et de répartition des droits d'auteur).

"Nous ignorons ce qui se passe chez TMG"


Enfin du côté de l’HADOPI, la phrase la plus terrible a été prononcée dans les colonnes du Figaro. Pour expliquer la suspension de ses liaisons techniques avec TMG, la Hadopi avoue « nous ignorons ce qu'il se passe réellement dans les serveurs de TMG. Mais nous ne voulons pas prendre le risque d'une intrusion dans notre système et les données personnelles qu'il contient ».

Cet aveu est le trait caractéristique parfait de ce dispositif. Faute d’avoir diligenté une expertise, un audit dans les serveurs de TMG, la HADOPI se retrouve piégée par sa stratégie : monter en puissance, adresser des milliers d’avertissements chaque jour, sans se soucier de ce qui se passe en amont. Et la voilà aujourd'hui obligée d'admettre qu'elle n'a aucune connaissance sur ce qui se passe dans les serveurs de TMG.

Hadopi s’est donc satisfait d’une procédure de constats confiée aux seules mains des ayants droit,  en ignorant superbement l’alerte de la CNIL.

Nous allons revenir sur ce point dans une prochaine actualité