La société TMG (Trident Media Guard), chargée de collecter pour les ayant droit les adresses IP d’internautes en situation de téléchargement illégal (pour les transmettre ensuite à l’HADOPI) a laissé en accès libre certains fichiers sensibles.
Lundi dernier, un communiqué signé par Marc Guez (le directeur général de la SCPP), affirmait pourtant qu’aucune donnée personnelle n’avait été divulguée dans ces documents :
Cher tous,
Suite à l’information publiée dans la presse sur le piratage d’un serveur de TMG, TMG nous a informés que le serveur effectivement piraté était un serveur de tests de TMG (sans lien avec les traitements HADOPI), qui n’était pas protégé car ne contenant pas d’infos confidentielles.
Les serveurs TMG utilisés pour la HADOPI n’ont pas été piratés et aucune donnée confidentielle n’a donc fuité à l’extérieur de TMG ou de la HADOPI.
TMG doit faire un communiqué de presse à cet effet.
Une source se revendiquant d’Anonymous France a néanmoins rendu public sur pastbin une liste des hashs trouvés sur ces serveurs non sécurisés. Ces hashs incluent de nombreux fichiers protégés par le droit d’auteur, mais ne sont probablement pas liés à l’activité Hadopi de TMG. Il s’agit en effet principalement de films américains en VO et d’albums de musique, qui intéressent peu les ayants droit français. Mais des IP françaises feraient bien partie de ces fichiers.
La fuite de données sur un serveur soi-disant « de test » soulève un certain nombre d’interrogations auxquelles la CNIL et la Haute Autorité devront répondre. D’ailleurs, la réaction de cette dernière ne s’est pas fait attendre : c’est via le compte Twitter de son secrétaire général, Eric Walter, que nous apprenons que la connexion avec TMG était suspendue, considérant qu’il existe des risques de compromission des systèmes d’information.
Face à cet incident, d’autres mesures ont d’ores et déjà été annoncées :
• Un contrôle sur place (Nantes) de la CNIL sur le traitement des données personnelles.
• Un « contrôle de sécurité global » mené par les ayants droit.
• La nomination toute prochaine d’un expert judiciaire chargé d’examiner la méthode de collecte.
La CNIL avait déjà dénoncé par le passé « l’absence d’audit externe du système TMG » et regrettait que les seules procédures d’audit prévues sur le système de TMG soient des audits internes trimestriels par les SPRD. Mais ce système semble parfaitement convenir à la Haute autorité, qui avoue sans complexe, dans les colonnes du Figaro, que les collectes d’IP privées se font sans aucune vérification : « nous ignorons ce qu’il se passe réellement dans les serveurs de TMG »…
Jeu de briques
Snake
Pacman
Bubble