background preloader

TMG

Facebook Twitter

TMG : la CNIL sort de son silence. Hier, l’Hadopi indiquait à Reflets que le lien informatique entre elle et TMG, l’entreprise chargée par les ayants-droits de flasher les internautes téléchargeurs, était toujours coupé. Une conséquence de l’article de Reflets sur la non protection d’un serveur (de test) de TMG. Nous pouvions en déduire, avec notre mauvais esprit légendaire, que les grains de sables qui s’étaient insérés dans la mécanique bien huilée de la riposte graduée étaient toujours là. Bien entendu, l’institution ne peut affirmer publiquement qu’elle n’envoie plus de lettres aux internautes téléchargeurs et nous la croyons bien volontiers sur parole, lorsqu’elle nous dit qu’elle dispose d’un stock permettant de ne pas stopper son activité postale.

Bien sur, comme tout économiste en herbe le sait, les stocks ne sont jamais inépuisables. Et nous restons sans réponse pour le petit calcul que nous avions suggéré à l’attaché de presse de l’Hadopi. Dommage. A plusieurs titres. D’une part, l’Hadopi est un sujet controversé. Le mystère TMG. Mi mai, Reflets publiait un article sur TMG, le prestataire des ayants-droits, chargé de surveiller les réseaux Peer to Peer. L’un de leurs serveurs de test contenait, outre des données personnelles (des adresses IP) d’internautes, des programmes informatiques permettant à TMG de flasher les téléchargeurs pédo-nazi qui tuent des artistes en les décapitant à coup de lecteur DVD.

Ni une ni deux, la CNIL annonçait un contrôle surprise chez TMG. Elle était accompagnée de l’Hadopi. Dans la foulée, interrogé par Le Point,Yann Padova, secrétaire général de la CNIL expliquait que le résultat de cette visite serait connu dans les quatre semaines à venir. Nous voulons essentiellement faire une analyse des mesures de sécurité prises par TMG pour protéger les données.

Et l’Hadopi, de son côté, coupait le lien informatique entre elle et TMG. Six semaines après la visite de la CNIL dans les locaux de TMG, une espèce de mystère règne. Mais surtout, un silence assourdissant. TMG et le risible déni de Marc Guez. Dans un mail rendu public sur Electron Libre, Marc Guez s’adonne à un exercice de style pour le moins périlleux, portant des accusations étranges.

Dans quelques lignes, monsieur, Guez, vous risquez de ressentir ce qu’il convient d’appeler un grand moment de solitude. Nous vous prions donc de bien vouloir par avance nous en excuser, mais cette mise au point n’en demeure pas moins nécessaire. Dans ce mail, adressé à un certain « cher tous », mais qui n’est pas un communiqué, vous indiquez que le serveur sans aucune protection de TMG a été piraté.

Vu d’ici, il va être compliqué de masquer votre propre négligence caractérisée derrière ce mot. D’ailleurs, on sent bien que le sujet est peu maîtrisé, l’exercice sémantique n’en devient donc que plus compliqué. En suivant votre tortueux raisonnement, si vous lisez actuellement ce billet, c’est que vous aussi vous avez « piraté » un serveur, celui de Reflets.info. Passons maintenant aux choses moins amusantes pour vous.

Annexe : Hype Flore. La SCPP et TMG ont aussi des gadgetophrases en stock. Il était une fois, au siècle dernier, un dessin animé pas très fin, mettant en scène un inspecteur bardé de gadgets. A chaque souci, il prononçait une phrase « go-go-gadget-o-… » et faisait apparaître des outils improbables pour se sortir d’affaire. Il était une fois, au siècle dernier, des entreprises, des ministères, des armées qui investissaient le Web avec trois bouts de ficelle ou des millions, mais pas une once de connaissances en sécurité informatique. Il mettaient en péril des données confidentielles, des données personnelles, sans la moindre arrière-pensée.

Ils faisaient pourtant intervenir pour leurs projets Web des entreprises facturant leur non savoir-faire à prix d’or. Une fois démontrée leur incapacité à produire un projet Web qui tienne la route et qui ait un semblant de début de sécurité « inside », les responsables criaient très fort « go-go-gadgetophrase ». Etrangement, les journalistes avalaient la pilule.

Reflets.info n’a donc pas été déçu par la SCPP et par TMG. Hadopi : la CNIL dans les locaux de TMG pour un contrôle sur place. Hadopi : vers un triple contrôle de TMG, mais quid du passé ? L’Hadopi nous a décrit lors d’un échange téléphonique le futur plan de crise pour répondre aux brèches de sécurité découvertes le week-end dernier chez Trident Media Guard (TMG). Cette entreprise, rappelons-le, est chargée par les ayants droit de flasher les adresses IP sur le P2P, IP qui sont ensuite consignées dans un PV par les ayants droit puis envoyées à la HADOPI de manière automatisée. En réaction à la faille de sécurité dans au moins un des serveurs de TMG, la Hadopi nous a annoncé un triple contrôle va être mené chez cette entreprise nantaise : Un contrôle sur place de la CNIL sur le traitement des données personnelles.Un « contrôle de sécurité global » mené par les ayants droit.La nomination toute prochaine d’un expert judiciaire chargé d’examiner la méthode de collecte.

Cette nomination d’un expert judiciaire nous avait déjà été annoncée par la Hadopi en janvier 2011, lors d’une conférence de presse rue de Texel. . « On a voulu voir sur place comment ça marchait. TMG dit avoir porté plainte pour vol de données librement accessibles. Hadopi : la CNIL va contrôler TMG sur la fuite de données. [Parti Pirate] Vendredi dernier, un nouveau scandale est venu rejoindre la longue liste des casseroles de la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet. Une source du site reflets.info a révélé[1] que TMG, la société traquant les internautes dans le processus de riposte graduée de la HADOPI, s’est rendue coupable de négligence caractérisée. En effet, l’un des serveurs de TMG rendait accessible au public – sans mot de passe ni aucune protection – ce qui ressemblait fort à des données relatives à la traque des internautes (logiciels, scripts, empreintes numériques d’œuvres…), et surtout une liste d’adresses IP[2].

Or, chaque adresse IP collectée par TMG permettant d’identifier une connexion et servant de base aux avertissements puis à l’hypothétique sanction de la HADOPI, elle constitue – comme nous l’affirmions ici[3] il y a peu – une donnée à caractère personnel. La HADOPI a pris l’affaire au sérieux et immédiatement coupé sa connexion (!) Hadopi : la Cnil explique son contrôle chez TMG. Depuis le week-end dernier, la Hadopi est au centre d'une affaire embarrassante. La société TMG (Trident Media Guard), qui identifie les internautes pirates et transmet ses données à la Hadopi, a laissé s'échapper des fichiers contenant des informations confidentielles d'internautes et des statistiques. La Commission de l'informatique et des libertés (Cnil) a immédiatement décidé de se rendre à Nantes, au siège du sous-traitant des ayants droit, maillon-clé de la riposte graduée.

Yann Padova, secrétaire général de la Cnil, explique au Point.fr ce contrôle. Pourquoi la Cnil a-t-elle contrôlé la société TMG ? Tout est allé très vite. Nous avons pris connaissance des informations selon lesquelles il y avait un problème chez TMG, et nous avons déclenché une procédure de contrôle. La Hadopi affirme que la décision a été prise conjointement : est-ce vrai ? Non, c'est une décision interne de la Cnil, qui a été prise lundi soir. Comment le contrôle s'est-il déroulé ? TMG abandonne sa plainte pour vol de données librement accessibles. Le mystère TMG. Hadopi a retardé l'audit de TMG pour se concentrer sur la faille. Net pirate monitoring firm hacked. 17 May 2011Last updated at 13:37 The French government has cracked down hard on illegal file-sharing A firm employed by the French government to track down net pirates has been hacked.

Trident Media Guard is believed to have exposed a range of data, including advice on how to avoid detection. TMG monitors peer-to-peer networks as part of France's efforts to find those guilty of copyright infringements. Eric Walter, head of the French anti-piracy unit, confirmed on Twitter that it had "temporarily suspended" links with TMG. France's so-called HADOPI law has caused controversy since it was introduced in 2009. Suspected illegal file-sharers receive three official warnings, after which they are reported to a judge who can hand out a range of punishments, including disconnecting them from the internet.

The UK is due to introduce similar legislation, although at this stage it has no plans to punish offenders with disconnection. But it will need to employ a firm similar to TMG.