La société TMG, qui collecte les adresses IP sur les réseaux P2P pour les fournir à l'Hadopi, verra ses infrastructures vérifiées par un cabinet d'audit en sécurité des systèmes d'information. Hervé Schauer Consultants (HSC) a été mandatée pour ce faire par les quatre organisations d'ayants droit qui financent la collecte des adresses IP.

Dans un communiqué conjoint avec la SCPP, la SPPF, la SDRM (en fait la Sacem) et l’ALPA, la société Hervé Schauer Consultants (HSC) annonce ce mercredi qu’elle a été choisie par ces organisations d’ayants droit pour auditer la sécurité de plateforme dédiée à l’Hadopi chez TMG. Un communiqué qui commence par dédramatiser la fuite de données personnelles intervenues le mois dernier.

« TMG (Trident Media Guard) est une start-up nantaise proposant des services de filtrage de contenu sur internet. Un serveur de TMG, qui ne fait pas partie de la plateforme HADOPI, a été exposé sur internet. Suite à cet incident, et bien que ce problème de sécurité ait concerné un serveur sans aucune relation avec la plate-forme dédiée à HADOPI, le principe de cette mission d’audit avait été convenu entre les organisations d’ayants droit, la société TMG et la HADOPI dès que le problème a été identifié, soit le 16 mai 2011« , assurent ainsi HSC et les ayants droit. Pourtant le principe de l’audit avait été annoncé dès septembre 2010 par l’Hadopi, et il aura fallu attendre la découverte de cette faille pour que la mission soit enfin décidée.

De plus même si l’incident intervenu au mois de mai ne concernait pas la riposte graduée, il n’en pose pas moins plusieurs questions importantes. En premier lieu, pourquoi des adresses IP françaises figurent dans des relevés qui n’ont pas trait à la riposte graduée, et pourquoi certaines données personnelles présentes dans les fichiers sont-elles conservées depuis plusieurs années ? Sur ce point, la CNIL devrait rendre son rapport vers la fin du mois de juin. Mais il pourrait rester privé.

Spécialiste en sécurité des systèmes d’information, HSC dit être « reconnue pour ses compétences, son expertise technique, son indépendance, et son objectivité« , et être sélectionnée par ses clients « pour ses qualités, mais aussi pour sa neutralité, son autonomie et son franc-parler vis-à-vis des parties prenantes« . Un discours modeste qui ne fera pas oublier la curiosité de voir les ayants droit devenir eux-mêmes les gendarmes de la sécurité de la plateforme Hadopi, alors que ça devrait être le rôle de l’Etat.

Par ailleurs, s’il est nécessaire pour éviter des fuites plus graves que celles du mois de mai, l’audit de la sécurité de la plateforme de l’Hadopi chez TMG n’est qu’un aspect du problème de la confiance accordée au prestataire nantais. Le principal problème reste la méthode avec laquelle les adresses IP sont collectées. Sur ce point ; dès juin 2010, la CNIL avait jugé qu’il serait « préférable que le système de collecte soit « homologué » par un tiers de confiance, pour renforcer la sécurité juridique des constats« . Or cet audit n’a jamais été commandé. Peut-être là encore faudra-t-il attendre un premier incident.

Partager sur les réseaux sociaux

Articles liés