Hadopi en mode passoire

par Camille Gévaudan
publié le 16 mai 2011 à 18h24

Les techniques de surveillance des réseaux peer-to-peer, un mot de passe en clair, des adresses IP d'internautes pris en flagrant délit de piratage, le nom de l'œuvre qu'ils ont téléchargée, une liste partielle des films surveillés... C'est un sacré pactole qu'a laissé fuiter Trident Media Guard (TMG), la société nantaise chargée de traquer les pirates pour le compte d'Hadopi. Ce week-end, le blogueur Olivier Laurelli -- plus connu sous le pseudonyme de Bluetouff -- a mis la main sur des milliers de données de ce genre. Et sans avoir piraté quoi que ce soit ! C'est là le point le plus inquiétant de l'affaire, qui risque d'ébranler sérieusement la confiance que l'on pouvait avoir dans le système de riposte graduée : toutes ces informations ultra-sensibles étaient accessibles en clair, sur un serveur de TMG ouvert à tout vent.

Le secrétaire général de l'Hadopi, Éric Walter, a annoncé cet après-midi que «par mesure de précaution, l'Hadopi a décidé de suspendre provisoirement son interconnexion avec TMG.» En attendant des éclaircissements sur la faille de sécurité, la Haute autorité puisera uniquement dans le stock de constats d'infractions dont elle dispose déjà pour envoyer ses avertissements.

Il suffisait d'un navigateur et de l'adresse IP du serveur pour en voir le contenu. «La nature de la vulnérabilité est un manquement humain» , explique Bluetouff. Et la faille ne semble pas avoir été corrigée depuis ce week-end : l'adresse IP «est encore, à l'heure actuelle, à l'air libre... sans aucune protection, sans un .htaccess [fichier servant de sas d'entrée sur un site web et dont l'utilisation représente le B.A.-BA de la sécurité informatique, ndlr], sans même un fichier d'index permettant de masquer la misère du contenu des répertoires.» Pire qu'une «négligence caractérisée», c'est une véritable passoire !

Dans les répertoires insécurisés figuraient entre autres une longue liste de «hashs», c'est-à-dire les numéros d'identification des fichiers torrent permettant de télécharger les œuvres surveillées par TMG. Jusqu'ici, cette liste était officiellement gardée secrète.

Il est toutefois possible que certains titres relèvent d' «activités "hors Hadopi" de TMG, pour le compte d'ayants droit étrangers» , comme le suppose Numerama . On y trouve en effet des films en version originale non sous-titrée «qui ne doivent pas faire partie des priorités des ayants droit en France» . Mais le principal enseignement que l'on peut tirer de l'observation de cette liste (lisible sur Pastebin ) est inquiétant : «on voit TMG collecter des données sur des fichiers qui n'ont a priori aucun intérêt, comme des fonds d'écran à la gloire de Michael Jackson» . Ils semblent avoir été listés automatiquement car ils contiennent des mots-clés comme «This Is It», titre du film récent consacré au chanteur. On reste également perplexe devant des titres de livres sur le logiciel libre Eclipse, qui se trouve avoir le même nom que le troisième opus de la saga cinématographique Twilight . Si la sélection des fichiers «piège» est vraiment opérée à la légère, on imagine déjà des internautes avertis par l'Hadopi pour avoir téléchargé un logiciel, un PDF ou un malheureux fond d'écran...

Numerama a également recoupé des informations compromettant sérieusement la vie privée des internautes surveillés. Pour preuve, la capture d'écran ci-dessous, monrtant «l'adresse IP d'un abonné d'Orange habitant à Marseille, associée au partage d'une version française du film d'animation «Hop» qui doit sortir au cinéma le mois prochain. Son adresse IP était présente dans un fichier daté du samedi 14 mai à 8h43» .

Par une drôle de coïncidence, c'est justement mercredi prochain que l'Hadopi se mettra à plancher sur un «protocole d'expertise technique» visant TMG. Ce sera son tout premier audit, alors que la société collecte des données personnelles depuis près d'un an. Selon les déclarations d'Eric Walter, toute collaboration entre TMG et l'Hadopi devrait être suspendue avant que les résultats de cette expertise soient établis et analysés.

L'an dernier, déjà, la Commission Informatique et Libertés avait pointé du doigt l'absence de contrôle des activités de TMG, dans un rapport ( téléchargeable en .doc chez PC INpact) préalable à l'autorisation de collecter les adresses IP de manière automatisée :

L'action de la Hadopi se limitera à accepter ou refuser les constats transmis, sans possibilité de les vérifier. Les premières étapes de la "riposte graduée" reposeront donc uniquement sur la collecte opérée par le système de TMG. Votre rapporteur considère qu'il serait préférable que le système de collecte soit "homologué" par un tiers de confiance, pour renforcer la sécurité juridique des constats.

Cette demande d'homologation externe n'a jamais eu de suite. On lisait, dans le même rapport, que «les données personnelles (adresses IP) [devaient être] chiffrées et pas accessibles par le personnel de maintenance du prestataire. Les clés de chiffrement [devaient être] partagées en deux parties et détenues par deux personnes différentes.» Histoire d'assurer les arrières, il était également prévu que «des actions de sensibilisation aux problématiques de sécurité [soient] menées auprès de TMG et des agents assermentés.» On est apparemment loin du compte.

La réaction de la CNIL sur cette affaire est vivement attendue. De son côté, la Commission de protection des droits de l'Hadopi (chargée du volet «riposte graduée») devrait entendre Bluetouff sur les données sensibles à sa disposition, pour évaluer l'ampleur du désastre avant envisager la suite des événements. On revient sur la question dès demain.

Lire les réactions à cet article.

Pour aller plus loin :

Dans la même rubrique

Les plus lus