TMG dépose plainte pour vol de données librement accessibles

Ce serait plutôt aux internautes dont l'adresse IP s'est retrouvée librement accessible sur leur serveur de test super sécurisé d'aller porter plainte contre TMG, et non l'inverse.

Sont vraiment nazes chez TMG, ils savent même pas coller un index, et après ils vont pleurer judiciairement.

Vous avez vérifié ou votre seule source est l'article de nantes-maville ?

[edit] j'ai ma réponse dans ta dernière phrase

ils ont fait preuve de défaut de sécurisation ... c'est eux les coupables ...

C'est risible ...
Et tous les fichiers sont accessibles ici : http://pastebin.com/Rc1zGXu0

A ok les mecs qui veulent le délit de non sécurisation qui portent plainte contre des pirates imaginaire d'un vol qui existe pas...

Contre-feu pitoyable.
Le juge va se marrer en voyant la plainte. Ou pas.

Tssss à la place de TMG et de leur réplique de communication "old school", j'aurais trouvé un autre moyen de redorer mon blason, genre en admettant mes erreurs, et en travaillant avec Bluetouffe (pour ne pas le nommer) pour une meilleure sécurisation des données, au moins symboliquement.

Ah, Ego, quand tu nous tiens...

Ils peuvent aller attaquer Bluetouf, comme Tati l'avait fait avec Kitetoa il y a quelques années (procès perdu par Tati), je pense qu'au lieu d'avoir peur, il va plutôt mourir de rire.

Bon, d'accord il y a le problème très sérieux de TMG, de ses serveurs non sécurisés, des données qui s'y trouvent, etc...

En revanche, ce n'est pas parce que quelquechose n'est pas protegé que l'on peut se l'approprier. Imaginons que tu sortes de chez toi en oubliant de fermer les serrures, aurais-je le droit d'entrer, de prendre ce qui me plait, ou de dupliquer le disque dur de ton PC? Mon cher Guillaume, je pense que tu n'apprécierait pas...

En clair : si vous recevez un mail de l'Hadopi vous savez ce qu'il reste a faire : porter plainte pour vol de données sur votre ligne non sécurisée ! a raison de 10.000 courriers Hadopi/jour, si il y a autant de plainte, on va Ddosser les tribunaux

mif92, le 19/05/2011 - 11:53

Bon, d'accord il y a le problème très sérieux de TMG, de ses serveurs non sécurisés, des données qui s'y trouvent, etc...

En revanche, ce n'est pas parce que quelquechose n'est pas protegé que l'on peut se l'approprier. Imaginons que tu sortes de chez toi en oubliant de fermer les serrures, aurais-je le droit d'entrer, de prendre ce qui me plait, ou de dupliquer le disque dur de ton PC? Mon cher Guillaume, je pense que tu n'apprécierait pas...

Encore faut-il savoir que c'est une maison (serveur sécurisé) et non un magasin ou une bibliothèque (site web)

mif92, le 19/05/2011 - 11:53

Bon, d'accord il y a le problème très sérieux de TMG, de ses serveurs non sécurisés, des données qui s'y trouvent, etc...

En revanche, ce n'est pas parce que quelquechose n'est pas protegé que l'on peut se l'approprier. Imaginons que tu sortes de chez toi en oubliant de fermer les serrures, aurais-je le droit d'entrer, de prendre ce qui me plait, ou de dupliquer le disque dur de ton PC? Mon cher Guillaume, je pense que tu n'apprécierait pas...

Un accès FTP ou SSH ouvert, j'aurais compris. Mais là, il s'agit de HTTP. C'est parfaitement public et accessible à tous. Quitte à faire une analogie, je reprendrai celle de CaptainKiller : plutôt que de dire " c'est comme si on entrait chez quelqu'un qui a laissé sa porte ouverte ", ça se rapproche plus de " c'est comme si quelqu'un avait imprimé et placardé des affiches sur la voie publique, et reprochait qu'on les lise ".

Bon, d'accord il y a le problème très sérieux de TMG, de ses serveurs non sécurisés, des données qui s'y trouvent, etc...

En revanche, ce n'est pas parce que quelque chose n'est pas protégé que l'on peut se l'approprier. Imaginons que tu sortes de chez toi en oubliant de fermer les serrures, aurais-je le droit d'entrer, de prendre ce qui me plait, ou de dupliquer le disque dur de ton PC? Mon cher Guillaume, je pense que tu n'apprécierait pas...

je ne sais pas si on peut t'accuser de vol si tu enfonces une porte ouverte, enfin c'est chaud les marrons pour prouver que la personne t'a bien volé s'il n'y a pas effraction... l'assurance ne prendra pas en charge le remboursement en tout cas.

il faut bien différencier la morale populaire du droit (un avocat me l'a fait cruellement sentir).

ex : un voleur se noie dans ta piscine qui n'était pas protégé, tu prends plein pot. idem s'il se blesse chez toi en braquant ta maison... ne parlons pas du cas où il tombe sur son couteau en ratant son agression.

en droit français tu as toujours plus intérêt à être agresseur qu'agressé, ça t'en coûtera toujours moins, surtout dans les cas les plus graves comme le meurtre ou le viol.

Contre-feu pitoyable.
Le juge va se marrer en voyant la plainte. Ou pas.

Se marrer ? Il va leur foutre un outrage à magistrat.

mif92, le 19/05/2011 - 11:53

Bon, d'accord il y a le problème très sérieux de TMG, de ses serveurs non sécurisés, des données qui s'y trouvent, etc...

En revanche, ce n'est pas parce que quelquechose n'est pas protegé que l'on peut se l'approprier. Imaginons que tu sortes de chez toi en oubliant de fermer les serrures, aurais-je le droit d'entrer, de prendre ce qui me plait, ou de dupliquer le disque dur de ton PC? Mon cher Guillaume, je pense que tu n'apprécierait pas...

Tu mélanges du matériel et de l'immateriel la.

mif92, le 19/05/2011 - 11:53

Bon, d'accord il y a le problème très sérieux de TMG, de ses serveurs non sécurisés, des données qui s'y trouvent, etc...

En revanche, ce n'est pas parce que quelquechose n'est pas protegé que l'on peut se l'approprier. Imaginons que tu sortes de chez toi en oubliant de fermer les serrures, aurais-je le droit d'entrer, de prendre ce qui me plait, ou de dupliquer le disque dur de ton PC? Mon cher Guillaume, je pense que tu n'apprécierait pas...

Surtout qu'Hadopi a fait appel a son expertise...

[edit] : planté de post : je quotais le mort de rire de bluetouf

L O L
grotesque jusqu'au bout la bande à thierry lhermitte.

Cependant pour une affaire relativement proche, qui avait trait à un serveur FTP accessible sans identifiants, la cour d'appel de Paris avait condamné en 2009 le journaliste Damien Bancal du site Zataz.

On pourrait aussi citer Kitetoa vs Tati, qui avait donné lieu à la condamnation de Kitetoa en première instance, pour une affaire assez identique (la base des données des clients du site de Tati était accessible avec un simple navigateur). Finalement, Tati avait été débouté en appel.

Outre la situation cocasse, de l'arroseur arrosé pour TMG, au niveau de la sécurisation inexistante de leur serveur, je m'interroge sur une phrase de l'article:

"Il n'y a pas de vol de données lorsqu'elles sont simplement dupliquées."
Donc si par exemple lors d'une visite chez un bureau de R&D (au hasard Renault...) je rentre dans le bureau d'un ingénieur, prend des photos de son dernier projet de moteur révolutionnaire, et je repars... ce n'est pas du vol ? ce n'est pas illégal ?

donc c'etait pas un pot de miel?

C'est risible ...
Et tous les fichiers sont accessibles ici : http://pastebin.com/Rc1zGXu0

et les fichiers python ?

messier, le 19/05/2011 - 12:17

Outre la situation cocasse, de l'arroseur arrosé pour TMG, au niveau de la sécurisation inexistante de leur serveur, je m'interroge sur une phrase de l'article:

"Il n'y a pas de vol de données lorsqu'elles sont simplement dupliquées."
Donc si par exemple lors d'une visite chez un bureau de R&D (au hasard Renault...) je rentre dans le bureau d'un ingénieur, prend des photos de son dernier projet de moteur révolutionnaire, et je repars... ce n'est pas du vol ? ce n'est pas illégal ?

Il me semble, mais je ne suis pas juriste, qu'outre l'effraction, tu fais acte de contrefaçon. Et c'est illégal.

messier, le 19/05/2011 - 12:17

Outre la situation cocasse, de l'arroseur arrosé pour TMG, au niveau de la sécurisation inexistante de leur serveur, je m'interroge sur une phrase de l'article:

"Il n'y a pas de vol de données lorsqu'elles sont simplement dupliquées."
Donc si par exemple lors d'une visite chez un bureau de R&D (au hasard Renault...) je rentre dans le bureau d'un ingénieur, prend des photos de son dernier projet de moteur révolutionnaire, et je repars... ce n'est pas du vol ? ce n'est pas illégal ?

C'est du viol de brevet si il y en a, trop souvent confondu avec vol.

Dans la loi c'est claire de toute façon, vol = soustraction.

Entendons-nous bien, je suis d'accord que TMG c'est "Les Bronzés font de l'info", que Hadopi est une usine à gaz a coté de la plaque, inutile, voire dangereuse pour nos libertés.

Pour l'instant je n'ai rien reçu de sa part, pourtant je n'ai changé aucune de mes habitudes avec mon uTorrent, et si ca arrive un jour je serai de ceux qui contestent, toussa toussa.

Mais là, les données ont été mises à la disposition de tout le monde. C'est par exemple différent du cas Kitetoa vs Tati ou il s'était contenté de montrer des screenshots qui prouvaient ses dires.

On n'aime pas Hadopi-TMG-Riguidel, mais laissons leur le droit de se defendre, c'est le principe d'un état de droit. D'ailleurs le cas Kitetoa-Tati montre que les méchants ne gagnent pas s'ils ont tort.

TMG est ridicule!

@mif92 : je pense que ce qui est risible c'est de travailler pour l'entité qui prône la présomption de culpabilité pour défaut de sécurisation (comment?) et que cela vous arrive, personne ne dit que la contrefaçon n'est pas condamnable. Encore plus parce-qu'ici, c'est le juge qui en décidera pour eux, à la différence des internautes ou c'est une autorité administrative partie prenante. Cherchez l'erreur.

mif92, le 19/05/2011 - 11:53

Imaginons que tu sortes de chez toi en oubliant de fermer les serrures, aurais-je le droit d'entrer, de prendre ce qui me plait, ou de dupliquer le disque dur de ton PC? Mon cher Guillaume, je pense que tu n'apprécierait pas...

Très mauvaise analogie :

Là, en l'occurrence, vu le type d'accès au serveur (http sans login ni mdp), c'est comme si tu voulais porter plainte pour vol des affaires que tu avait laissées dans la rue (espace public) à la vue de tous les passants

De surcroit, il n'y a pas eu vol, puisque les données de leur serveur y sont toujours présentes, c'est une des particularités du monde informatique qui fait que les analogies sont très souvent foireuses

Pff, Quelle bande de rigolos !

Le seul point positif de cette histoire c'est qu'ils ne sont pas pret d'avoir de nouveaux client. Fallait rester dans le cinoch Thierry, fallait pas se diversifier (surtout dans ce genre de société) Cela me donne envie de dire : Dans tes dents !

Je sais pas ce qu'il en est des téléchargements et contrefaçons, mais pour les comparatifs approximatif avec des situations matérielles, si par exemple on laisse sa bagnole ouverte avec les clefs, c'est un délit d'incitation au vol... Si on se la fait chourer, on est en tort, si ya des dégâts faits avec c'est pour votre pomme (enfin pour votre assurance avec un peu de chance)...

messier, le 19/05/2011 - 12:17

Outre la situation cocasse, de l'arroseur arrosé pour TMG, au niveau de la sécurisation inexistante de leur serveur, je m'interroge sur une phrase de l'article:

"Il n'y a pas de vol de données lorsqu'elles sont simplement dupliquées."
Donc si par exemple lors d'une visite chez un bureau de R&D (au hasard Renault...) je rentre dans le bureau d'un ingénieur, prend des photos de son dernier projet de moteur révolutionnaire, et je repars... ce n'est pas du vol ? ce n'est pas illégal ?

Non, ce n'est pas du vol (dans le sens légal du terme, le vol suppose que du dépossède le propriétaire de son bien, chose qui ne se produit pas avec la duplication, copie, reproduction, ....)

Mais non, ce n'est pas légal pour autant (contrefaçon, espionnage industriel, accès frauduleux à un système / informations, ....)


Dans le cas présent, le "soucis" pour TMG, c'est qu'il a pas eu d'accès frauduleux, vu que l'accès était ouvert, et qu'un site / hébergement en ligne est un espace ouvert au public dans ces conditions....

Si cette plainte est jugée recevable, je vais s'amuser à ajouter l'indexation sur quelques sites pour ensuite déposer plainte contre tous les intrus...lol

Pour info, ZATAZ a perdu en appel, devant le tribunal civil. Ce qui va l'obliger à retirer un article qui mettait en cause le manque de sécurisation des données clients d'une société. Par contre, il a été relaxé au pénal. Le tribunal mettant en avant la bonne fois du travail accompli pour alerter cette entreprise.

non mais là ça n'a rien à voir avec un manque de sécurisation, c'est une option de configuration du serveur qui laisse visible l'arborescence racine. Si le serveur à été configuré ainsi CAD de sorte qu'on puisse naviguer à travers cette arborescence, il est logique d'en déduire qu'on est en droit de le faire...

je répète : c'est une option de configuration du serveur

Bah c'est classique.
Souvenons-nous de l'affaire Kitetoa. C'était pareil et Tati a porté plainte.
C'est pour faire bonne figure face aux actionnaires.
db

Une analogie moins foireuse serait de laisser lire par dessus son épaule.
Si t'es assis sur un banc dans un parc ou passager dans le métro et que tu lis des documents très confidentiels sans aucune précaution vis-à-vis des gens qui t'entourent, tu viens pas te plaindre si quelqu'un les lit en même temps que toi ...
Le manque de courtoisie ou de savoir-vivre n'intéresse pas des masses la justice.

Si cette personne qui lit a dû entrer par effraction dans des locaux, passer par-dessus des grilles de 3m de haut et couper le doigt d'un salarié pour passer les contrôles biométriques, là oui la faute est à celui qui entre par effraction et la justice ainsi que l'opinion publique se rendront compte que le propriétaire des données avait pris "suffisamment" de précautions.
C'est pas le cas ici, loin s'en faut.


La défense par la contre-attaque, ça me fait vraiment penser à [i]"C'est celui qui dit qui est !"{/i]. Je devais avoir 7 ans quand je disais ça ...

TMG qui laisse porte ouverte et serveur aux quatre vents va p-être porter plainte et Madame Michu, qui ne peut pas sécuriser son accès, de manière labellisée, va se faire accuser de négligence caractérisée ?

C'est une blague ?

Comme nous le démontrions dimanche, il y a bien des adresses IP françaises associées à des contenus francophones dans ces fichiers. Entre autres questions, il faudra donc expliquer pourquoi ces IP sont présentes dans un serveur de tests, si elles n'ont pas été collectées dans le cadre de sa mission pour la riposte graduée.

Une IP relève-t-elle obligatoirement des données personnelles ? Est-il illégal de générer aléatoirement des IP ? si oui l'utilisation du logiciel SeedFuck deviendrait aussi illicite.

Quant à la plainte, à quoi pourra-t-elle aboutir ? Il n'y a pas de vol de données lorsqu'elles sont simplement dupliquées.

La justice ne s'exerce pas partout de la même façon sur le territoire français : net-iris.fr .

J'ai quand même l'impression que cet article est un tissu de conneries ou alors juste d'une ironie mordante, je n'arrive pas à me décider. En tout cas en ce qui me concerne et même si c'est TMG ils ont raison de porter plainte mais effectivement question crédibilité quand on parle de défaut de sécurisation de sa box, c'est juste inconcevable.

D'ailleurs en tant que diffuseur des infos privés qui ne vous appartiennent pas ( ou en tout cas du fait que vous semblez entendre les posséder) numérama ne risque t il pas des poursuites judiciaires ?

EDIT : après c'est l'histoire de la porte de sa maison laissé ouverte par inadvertance, ça ne donne pas le droit à quiconque de rentrer et de la piller.

mif92, le 19/05/2011 - 11:53

En revanche, ce n'est pas parce que quelquechose n'est pas protegé que l'on peut se l'approprier. Imaginons que tu sortes de chez toi en oubliant de fermer les serrures, aurais-je le droit d'entrer, de prendre ce qui me plait, ou de dupliquer le disque dur de ton PC? Mon cher Guillaume, je pense que tu n'apprécierait pas...

Un site web est par défaut une site de communication au public. S'ils n'est pas protégé, c'est que son contenu est librement accessible par le public.

L'analogie serait donc plutôt que si tu oublies tes dossiers dans carton posé sur le trottoir - un lieu public - tu ne peut pas ensuite accuser les passants qui ont regardé ce qu'il y avait dans le carton d'être des voleurs.

Par contre, si parmi ces dossiers dans un carton sur le trotoir il y en a dont tu étais tenu de garantir la confidentialité, celui qui peut avoir un problème avec la loi c'est toi, pas les passants qui les ont consultés (eux ne pouvaient savoir qu'ils étaient confidentiels *a priori*, alors que toi, tu ne pouvait et ne devait pas l'ignorer !).

Pire encore que la rupture de confidentialité, si dans ces dossiers oubliés sur le domaine public il y en des informations dont la collecte a été faite en dehors de toute autorisation préalable (ici, collecte automatisée d'IPs dès 2008, avant d'avoir l'autorisation de la CNIL en... 2010), tu es là encore en violation d'une loi.

Alors qu'à aucun moment il est interdit aux passants de fouiller les cartons abandonnés sur les trottoirs.

RilaX, le 19/05/2011 - 12:25

messier, le 19/05/2011 - 12:17

Donc si par exemple lors d'une visite chez un bureau de R&D (au hasard Renault...) je rentre dans le bureau d'un ingénieur, prend des photos de son dernier projet de moteur révolutionnaire, et je repars... ce n'est pas du vol ? ce n'est pas illégal ?

Il me semble, mais je ne suis pas juriste, qu'outre l'effraction, tu fais acte de contrefaçon. Et c'est illégal.

Exact.
Maintenant si le bureau de R&D de Renault est installé sur le trottoir, là où tout le monde peut voir librement les documents posés dessus, alors là c'est plus du tout la même chose. On est sorti de l'espace privé.

Le serveur "de test" de TMG était accessible par un protocole de communication au public (http), sans protection.
Son contenu était donc sur le trottoir, et non dans un bureau de R&D.

Le piéton qui passe sur ce trottoir ne peut savoir *à l'avance* que ce qui s'y trouve est confidentiel. Ce n'est pas son problème, c'est celui de celui qui à le devoir de garantir la confidentialité. On ne peut demander au public d'être le garant de la confidentialité à la place de celui dont c'est la responsabilité !

Si TMG n'a pas les moyens de sécuriser ce qui doit l'être dans son activité et laisse trainer des trucs sur le trottoir, ce n'est pas la faute du passant !

Enfin, que je sache, la CNIL a autorisé
- la collecte automatisée de ses informations
- *uniquement* sous certaines conditions, dont la confidentialité et la durée de conservation (8 jours après transmission à l'HADOPI)
- à partir de 2010, mais pas avant (avant, seule la collecte *manuelle* d'IP était possible)
- et à TMG uniquement, pas le citoyen lambda, pas une autre entité, non, juste TMG.

TMG a donc des droits *ET* des devoirs.
Parmis ses devoirs, elle ne remplie pas certains, en l'occurrence.
Et c'est *SA* responsabilité, donc sa faute.

Magnifique, je vais laisser les clés et la vitre ouverte sur ma bagnole et après harceler mon assureur parce qu'on me l'aura volé !!

Ah oui et en tant que nouvel adhérent (mon execration des commentaires de video-imp-club m'a poussé), bonjour à tous !!

Ump évidemment, pas imp !! Sorry !

note pour TMG
article 34 de loi informatique et liberté

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Actuellement la Cnil (Commission nationale de l'information et les libertés) est dans nos bureaux pour évaluer le préjudice.

J'ai ri

Encore !

et tu oublie de préciser dans cet article, la conservation de donnée datant de 2008

mif92, le 19/05/2011 - 11:53

Bon, d'accord il y a le problème très sérieux de TMG, de ses serveurs non sécurisés, des données qui s'y trouvent, etc...

En revanche, ce n'est pas parce que quelquechose n'est pas protegé que l'on peut se l'approprier. Imaginons que tu sortes de chez toi en oubliant de fermer les serrures, aurais-je le droit d'entrer, de prendre ce qui me plait, ou de dupliquer le disque dur de ton PC? Mon cher Guillaume, je pense que tu n'apprécierait pas...

+ 1 pour la réponse de gordontesos. Apparemment si j'ai bien compris, TMG "surveillait" aussi un wallpaper. J'espere pour toi que c'est pas un des tiens...

tester000, le 19/05/2011 - 19:20

sebk, le 19/05/2011 - 19:16

note pour TMG
article 34 de loi informatique et liberté

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Qu'est-ce que tu veux qu'on ajoute après ça ? T'es pas marrant...

Ben on peut ajouter que si le responsable du traitement ne respecte pas l'article 34, et bien il risque 0...

@Croux je pense que si le responsable du traitement ne respecte pas l'article 34, la CNIL peut-être saisie et peut le condamner.

mif92, le 19/05/2011 - 11:53

En revanche, ce n'est pas parce que quelquechose n'est pas protegé que l'on peut se l'approprier. Imaginons que tu sortes de chez toi en oubliant de fermer les serrures, aurais-je le droit d'entrer, de prendre ce qui me plait, ou de dupliquer le disque dur de ton PC? Mon cher Guillaume, je pense que tu n'apprécierait pas...

Sauf que ta maison, c'est un espace privé, qu'il soit ou non fermé à clé.

Dans un espace public (ou même privé ouvert au public, genre magasin en tout genre), c'est la situation inverse : sauf indication contraire, c'est logiquement qu'on peut y entrer si ça nous chante.

Quelque chose de mis en ligne sur internet, l'utilisateur n'a aucun moyen de savoir si ouvert volontairement ou pas au public, donc si c'est accessible "naturellement", tout porte à croire que c'est bien public et volontaire. Après si erreur il y a , c'est de la responsabilité de la personne qui l'a mal configuré (il s'agit même pas de faille hein, c'est une bourde de configuration, une option pas utilisé, ...)


C'est plus comme un réseau routier:
Y'a un espace public ouvert à tous, et quelques routes privés à l'accès interdit sans autorisation. Si y'a aucune signalisation / moyens pour marquer la limite d'accès, alors personne ne devrait être ennuyer d'employer une route privée, alors qu'elle était au milieu de l'espace public, sans aucunes indications contraires.

sn0wcrash, le 19/05/2011 - 18:53

Magnifique, je vais laisser les clés et la vitre ouverte sur ma bagnole et après harceler mon assureur parce qu'on me l'aura volé !!

C'est plus simple que ça : j'ai pas pris l'option vitre miroir et déposer une plainte parce que les gens regarde ce que j'ai à l'intérieur de mon véhicule.

En aucun cas il n'y a eu vol de quoi que ce soit. Ni intrusion.
La consultation était ouvert à tous, donc consulter était parfaitement légal.
Point final.

Le simple fait d'avoir porter plainte montre à quel point le service juridique de TMG, s'il en existe un, est à viré illeco. Et s'il n'y en pas encore, il est urgent pour TMG de louer les services de gens compétents sur le sujet. Ils ne font pas un métier qui peut s'en passer. Faire du fric avec la loi, faut être carré avec la loi, sinon c'est rapidement éphémère comme activité.

Cf les quelques avocats qui faisaient un business du chantage aux internautes. Après 2-3 d'entre-eux qui ont été condamnés et rayé du barreau, ce secteur d'activité s'est arrêté rapidement...