Samedi, des milliers d'adresses IP et d'identifiants de fichiers surveillés sur BitTorrent ont été involontairement divulgués par la société TMG, qui collecte les adresses IP d'abonnés français dans le cadre de la riposte graduée. L'Hadopi, qui ne souhaite pas prononcer de moratoire avant d'avoir évalué la gravité des faits, dit prendre l'affaire "très au sérieux". Une enquête sur l'organisation des travaux de TMG sera ordonnée mercredi. Numerama, qui a pris connaissance des documents divulgués, confirme que des adresses IP françaises figurent dans les fuites.

Le contenu du serveur TMG

C’est Bluetouff qui a d’abord révélé l’affaire sur le site Reflets. L’un des serveurs de la société nantaise Trident Media Guard (TMG) s’est retrouvé samedi sans protection, laissant des fichiers potentiellement sensibles apparaître en clair. Or TMG n’est autre que la société nantaise employée par les sociétés d’ayants droit pour collecter les adresses IP d’internautes sur les réseaux P2P, dans le cadre de la riposte graduée mise en œuvre par l’Hadopi.

« Il y a tout ce qu’il faut pour comprendre comment TMG procède et même plus : un exécutable, un password en clair dans un [fichier de configuration], des hashing torrent des œuvres surveillées pour piéger les internautes partageurs, les scripts de traitement des logs, les ip des connectés aux peers etc, etc…)« , rapporte le blogueur.

Numerama a également reçu samedi soir une archive troublante de 5 342 fichiers issus d’un serveur de TMG. Le message était signé d’un internaute se revendiquant des Anonymous France. A son ouverture, on découvre pour l’essentiel une grande quantité de fichiers HTML portant comme nom les signatures uniques (hash) de fichiers surveillés par TMG sur BitTorrent, parfois déclinés en trois parties :

  • Les adresses IP des serveurs qui émettent les fichiers (« publish ») ;
  • Les adresses IP des pairs connectés aux serveurs (« connected peers ») ;
  • Les adresses IP obtenues par échange de sources (« PEX », pour « Peer Exchange »).

Les fichiers les plus récents sont datés du 14 mai 2011, tandis que les plus anciens remontent à avril 2008 (ce qui, soit dit en passant, pose question sur la durée de conservation des données personnelles par TMG). Selon nos constatations, il s’agit le plus souvent d’adresses IP étrangères (américaines, suédoises, italiennes…), mais certaines adresses IP présentes dans les « connected peers » renvoient bien parfois à des internautes français.

Nous avons ainsi découvert, à titre d’exemple, l’adresse IP d’un abonné d’Orange habitant à Marseille, associée au partage d’une version française du film d’animation Hop qui doit sortir au cinéma le mois prochain. Son adresse IP était présente dans un fichier daté du samedi 14 mai à 8h43 :

Notre source nous explique que ces fichiers étaient visibles sur le serveur de TMG « depuis au moins trois jours« , sans qu’il y ait eu besoin du moindre piratage pour y accéder. Le serveur, une machine virtuelle, n’aurait tout simplement pas été sécurisé pour en interdire l’accès depuis l’extérieur. Tout n’a cependant pas pu être récupéré, et notamment pas les scripts python employés par la société nantaise. Leur téléchargement était interdit par la configuration du serveur Apache, au contraire des fichiers HTML.

Au vu des hashs répertoriés, dont une partie a été copiée sur Pastebin, beaucoup des fichiers observés semblent concerner les activités « hors Hadopi » de TMG, pour le compte d’ayants droit étrangers. On constate en effet une forte domination de films en version originale non sous-titrée, qui ne doivent pas faire partie des priorités des ayants droit en France (on voit tout de même des œuvres françaises comme « Mesrine, l’instinct de mort ») . Mais ces fichiers révèlent aussi peut-être des failles dans la procédure de collecte. On voit en effet TMG collecter des données sur des fichiers qui n’ont a priori aucun intérêt, comme des fonds d’écran à la gloire de Michael Jackson. Or ces derniers ayant dans leur nom les mots clés « This Is It », on imagine qu’ils ont été automatiquement ajoutés à la liste des fichiers surveillés sans que le contenu soit vérifié.

L’Hadopi adoptera un protocole d’expertise des procédures de TMG

Contactée par Numerama, la Hadopi nous a affirmé dimanche « prendre très aux sérieux » cette affaire, qui tombe au plus mal. TMG est la seule société à disposer de l’autorisation de la CNIL pour la collecte des adresses IP pour le compte des ayants droit, et toute sanction à son égard mettrait donc la riposte graduée en panne. Comme un mauvais hasard de calendrier, c’est mercredi prochain que la Commission de Protection des Droits (CPD) de l’Hadopi doit adopter à l’encontre de TMG un « protocole d’expertise technique« , alors que l’absence de contrôle de la société nantaise a été pointée du doigt depuis plusieurs années, et notamment par la CNIL elle-même – sans que ça ne l’empêche toutefois de donner son autorisation dans des conditions encore obscures et obscurcies. En septembre 2010, après que les critiques de la CNIL furent rendues publiques, l’Hadopi avait dit souhaiter des audits « objectifs et indépendants » de TMG. C’est cela qui doit être adopté mercredi, mais qui apparaît aujourd’hui trop tard.

Il n’est pas question cependant, nous précise l’Hadopi, de prononcer un moratoire en attendant les conclusions de la mission d’expertise qui sera dépêchée. La Haute Autorité ne souhaite pas mettre en pause la riposte graduée sans avoir pleinement mesuré la gravité ou non de la publication des données, qui ne sont que partielles. Bluetouff, qui avait révélé le premier l’information (mais qui se basait lui-même sur un tuyau), sera d’ailleurs amené à dire à la CPD d’ici mercredi tout ce qu’il a trouvé, pour aider l’Hadopi à évaluer l’ampleur de la divulgation et ses conséquences.

Partager sur les réseaux sociaux

Articles liés