Journal TMG et la négligence caractérisée

Posté par (page perso) . Licence CC by-sa
Tags :
44
17
mai
2011

Même si vous êtes sans doute tous déjà au courant LinuxFR se devait de parler de cette histoire absolument hilarante...ou consternante.
Trident Media Guard, la société qui a un mandat exclusif de l'HADOPI pour faire les repérages d'adresses IP sur les réseaux P2P, prise la main dans le sac avec un magnifique cas de négligence caractérisée.
Elle a laissé trainer sur une machine, accessible par tous de l'extérieur, des milliers d'adresses IP ainsi que des hashs torrent des fichiers surveillés. On trouve également sur le serveur un exécutable et un fichier de configuration avec un password en clair. Bref du lourd !

On se demande même si ce n'est pas trop gros et si TMG n'a pas tendu un piège aux internautes...mais en fait non. Quelques jours après les premières révélations (voir l'article sur le site reflets.info) on apprend que l'HADOPI a décidé de couper son lien réseau avec TMG.
C'est un message d'Eric Walter, secrétaire général de la haute autorité, qui l'annonce sur Twitter:

Par mesure de précaution l'#hadopi a décidé de suspendre provisoirement son interconnexion avec #TMG

A la fin de l'année 2010 la CNIL avait déjà sorti un rapport qui indiquait ce qui avait prévu pour protéger les données chez TMG:

Les données personnelles (adresses IP) sont chiffrées et ne sont pas accessibles par le personnel de maintenance du prestataire. Les clés de chiffrement sont partagées en deux parties et détenues par deux personnes différentes.
Enfin, des actions de sensibilisation aux problématiques de sécurité sont menées auprès de TMG et des agents assermentés.

Visiblement il y a eu un gros couac quelque part. C'était d'ailleurs tout à fait prévisible puisque le rapport de la CNIL ajoutait que TMG faisait ce qu'elle voulait et qu'aucune vérification externe n'était prévue : « les seules procédures d’audit prévues sur le système de TMG sont des audits internes trimestriels par les SPRD ».
Absence de tout contrôle externe = catastrophe en matière de protection des données. CQFD.

Bien entendu cette affaire fait les choux gras du web et Le Monde a même publié un article à ce sujet.
L'article de Numerama me semble un peu plus complet techniquement puisqu'on y apprend quelques détails sur les fichiers qui ont fuité.
Il s'agit de 5 342 fichiers contenant des adresses IP avec le plus récent datant du 14 mai 2011 et le ancien remontant à début 2008. Comme le souligne délicatement Numerama ceci « pose question sur la durée de conservation des données personnelles par TMG ».
Le journaliste a regardé de plus près les adresses IP du fichier le plus récent et a ainsi pu déterminer que, par exemple, un abonné d'Orange habitant à Marseille avait été enregistré en train de télécharger le film « Hop » qui va sortir dans les salles françaises le 6 juillet prochain.
Évidemment les hashs des fichiers se sont retrouvés instantanément sur Pastebin pour la postérité.

A noter également l'article du site 01.net qui donne la parole au patron de TMG. Il est visiblement en mode minimisation de l'incident puisqu'il affirme que « c’est un serveur de test pour lequel nous n’avions pas de raison de renforcer la sécurité. Nous sommes en train d’enquêter pour savoir ce qui s’est passé ».
Puisque le serveur contenait des données sur les adresses IP des téléchargeurs on voit mal pourquoi TMG n'avait pas de raison de renforcer la sécurité...mais bon c'est sans doute la logique du truc qui m'échappe.

Au vu de cette triste affaire il me semble que tout internaute est en droit de s'interroger sur la fameuse notion de « négligence caractérisée ». Comme il semblait impossible de relier l'adresse IP et le nom du vrai coupable alors le législateur a trouvé cette astuce juridique pour pouvoir quand même condamner les gens. L'infraction ne consiste pas à télécharger mais à ne pas avoir sécurisé sa connexion. Pourtant il s'avère que même TMG n'est pas capable de sécuriser ses propres machines et fait preuve d'une nullité assez consternante en matière de respect des bonnes pratiques. Comment espérer que l'utilisateur de base fasse mieux ?

Pour terminer sur une note guillerette je laisse le mot de la fin à PCInpact qui a trouvé la conclusion parfaite dans son article sur l'affaire:

On en arrive donc à un drôle de paradoxe : l'autorité chargée de couper les accès des internautes français inaugure sa première suspension d'accès avec l'entreprise chargée de l'alimenter en adresse IP !

  • # J'ai ri

    Posté par (page perso) . Évalué à 7.

    J'avoue, j'ai ri.

    Ce qui me fait surtout plaisir, c'est que depuis que l'Hadopi est mise en place, on voit que beaucoup de blogs et de sites assez sérieux se sont saisis des aspects dérangeants de cette loi et épient TMG et le gouvernement pour détecter leurs faux pas.
    Et je trouve ça réellement génial, parce que ça va forcément retomber sur eux (le gouvernement et TMG).

    Bref:

    popcorn

    • [^] # Re: J'ai ri

      Posté par (page perso) . Évalué à 7.

      Fais attention ton ip a peut être été flashée sur 12 Michael Jackson [This Is It] Wallpapers 1920 X 1440 (www.allwallpapersfree.blogspot.com)|e9e526bd8a0a9ee2a28660e4b31fe4785c25281e

      Étonnant qu'il y ait ce type de fichier dans la liste d'ailleurs...

      • [^] # Eclipse caymal

        Posté par . Évalué à 1.

        Ligne 369
        > Java Eclipse total beginner lessons -16|e20b26acfba77d9463c38f56393ed5e8bb13cf32

        207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶

        • [^] # Re: Eclipse caymal

          Posté par (page perso) . Évalué à 1.

          À l'origine c'est pas seulement les films qui doivent être surveillés?

          • [^] # Re: Eclipse caymal

            Posté par (page perso) . Évalué à 3.

            C'est une série de vidéos http://eclipsetutorial.sourceforge.net/totalbeginner.html

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: Eclipse caymal

            Posté par . Évalué à 2.

            Le nouveau Twilight peut être ?

            207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶

          • [^] # Re: Eclipse caymal

            Posté par . Évalué à 3.

            Le condensat correspond peut-être à autre chose que ce qui est indiqué comme titre. J'ai ouïe dire que certains avaient voulu télécharger un dessin animé pour des enfants et s'étaient retrouvés face à une œuvre du genre « grand-père partouze chez les petites vicieuses ».

            Il faudrait donc trouver les alias du condensat avant de crier haro sur le fichier.

            The capacity of the human mind for swallowing nonsense and spewing it forth in violent and repressive action has never yet been plumbed. -- Robert A. Heinlein

          • [^] # Re: Eclipse caymal

            Posté par . Évalué à 1.

            C'est moi ou la liste des fichiers c'est vraiment n'importe quoi ?

            eclipse-jee-galileo-win32.zip|b190aeb15e781277e63754a563fa8ea8437dee48

            • [^] # Re: Eclipse caymal

              Posté par . Évalué à 2.

              si c'est vraiment un serveur de test (comme indiqué), ils ont ptet mis n'importe quoi... en dépis des considération sur la vie privé
              Autre possibilité, ils ont listé tout les fichiers d'un fournisseur donné, ne pouvant concevoir qu'il puisse avoir des fichiers librement accessibles parmis tout ceux mis à disposition en dépit du droit d'auteur.

              Enfin bon, ça reste n'importe quoi

              • [^] # Re: Eclipse caymal

                Posté par . Évalué à 2.

                Je sais pas trop, mais ça ressemble plus à un filtre sur un mot clé :
                dbva-for-eclipse-5.2.exe|71af9e920ba3a2753975c84e8e0c60831b9aacf7

                Bon d'accord j2ee c'est le mal ;-) , mais bon si on se fait couper le net après avoir téléchargé eclipse, ça fait peur.

                • [^] # Re: Eclipse caymal

                  Posté par . Évalué à 8.

                  On peut remarquer que la plupart des Eclipse sont à propos du film de Twilight (cliquez pas c'est pas la peine), c'est juste que leur filtre ne marche pas.
                  Qui c'est ces gens qui font un logiciel avec le même nom qu'un film non mais ! je pense bien qu'ils compte sur le succès du film pour augmenter leur part de marché, c'est des pirates un point c'est tout.

                  207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶

            • [^] # Re: Eclipse caymal

              Posté par . Évalué à 10.

              Perso j'aime beaucoup celui là:

              Don't Download This Torrent. It is a completly blank text file. It's bullshit.txt|f90209aa79a279acf6c10d7d11b27fabd2c9a1e6

        • [^] # Re: Eclipse caymal

          Posté par (page perso) . Évalué à 5.

          C'est drôle parce qu'on peut récupérer le fichier sur piratebay : http://thepiratebay.org/torrent/5389255 et on voit que ça vient de http://sourceforge.net/projects/eclipsetutorial/ c'est donc des vidéos sous licence libre. Peut être que dans le .rar il n'y a pas la licence…

      • [^] # Re: J'ai ri

        Posté par (page perso) . Évalué à 10.

        C'est d'ailleurs étonnant tous les fichiers bittorent de Michael Jackson surveillés.
        Comme chacun sait, le téléchargement illégal tue les artistes, et personne ne voudrait qu'il meurt, non ?

        • [^] # Re: J'ai ri

          Posté par (page perso) . Évalué à 4.

          Bof ça s'accorde bien avec la théorie de l'île du pacifique. Il a dû jouer perdre au poker contre Elvis Presley et il doit lui rembourser une somme. Comme il s'inquiète de l'énorme manque à gagner sur les fonds d'écran à sa gloire il demande à TMG de surveiller tout cela.

  • # Bernard !

    Posté par . Évalué à 7.

    Ils ne leur restent plus qu'à faire ermite !

  • # C'est la faute du stagiaire :D

    Posté par . Évalué à 10.

    Enfin si moi j'avais trouvé un stage chez eux, mon doigt aurait glissé sur shift-suppr sur le fichier .htaccess.

    Ce genre de boite ayant tellement l'habitude de faire faire du vrai travail par des stagiaire, faut pas s'étonner d'avoir de temps en temps un ch'tit plaisantin, qui en plus n'est responsable de rien :).

    Ce qui est intéressant, c'est que théoriquement les fichier de logs sont chiffrés via un système de double clé et devraient donc ne pas être présent en clair or c'est bien des fichiers en clair qu'il y avait... On nous aurait menti?

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

    • [^] # Re: C'est la faute du stagiaire :D

      Posté par (page perso) . Évalué à 8.

      En effet .... serveurs de test ou pas... les fichiers ne se sont pas décryptés tout seul ... a moins qu'ils aient une propre conscience
      Et puis, depuis quand un serveur de test est directement connecté sur le web? oO
      Ils sont marrant TMG mais ils se foutent de notre gueule !

      • [^] # Re: C'est la faute du stagiaire :D

        Posté par . Évalué à 2.

        les fichiers ne se sont pas décryptés tout seul ... a moins qu'ils aient une propre conscience

        Ou a moins qu'ils n'aient jamais été cryptés... Le rapport de la CNIL n'était qu'un rapport "rédigé avant les délibérations autorisant la surveillance du P2P" (voir le lien sur le rapport de la CNIL). S'il n'y a aucun audit de TMG, faut croire qu'ils n'ont pas suivi les recommandations et ont été pris la main dans le sac.

  • # Trouvons Charlie

    Posté par . Évalué à 5.

    Qui se dévoue pour faire l'intersection des IPs qui téléchargent l'ensemble de fichiers surveillés ?

  • # Avocat du diable

    Posté par . Évalué à 3.

    Bon je me dévoue puisque personne ne semble aimer ces gentils défenseurs du civique.

    Messieurs dames du jury, grand patrick_g, que vos barbes poussent à en toucher vos orteils. Vous accusez cette fière entreprise garante de la préservation du droit Français et chargée par notre bien aimée HADOPI de négligence caractérisée et de divulgation de données privées.

    Mais cela est faux! Tout logiciel demande test, et celui employé par mon client a demandé des années de perfectionnement! Ainsi ses développeurs l'ont-ils laissé tourner sur un serveur avec une liste de fichiers sans intérêt et des logs en clair pour s'assurer de son fonctionnement, bien entendu.

    Quant à la diffusion de données personnelles, allons votre honneur patrick_g, les adresses IP ne sont pas considérées comme données personnelles suite à deux arrêts de la Cour d'Appel de Paris, comme vous n'êtes pas sans savoir.

    Vient ensuite la question d'avoir activé l'index du serveur HTTP. Il s'agit tout simplement aux développeurs d'accéder efficacement aux données, où qu'ils soient!

    Donc Mesdames et Messieurs du jury, je vous conjure d'ouvrir vos yeux à la vérité et de laisser mon client se ré-interconnecter avec notre bonne HADOPI!

    briochette, la petite brioche

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.