Une abonnée de Numericable a reçu sur son adresse Hotmail le courriel d’avertissement destiné à un abonné de Free, envoyé à la demande de l’Hadopi. Un bug dans le processus de la riposte graduée ? Non. Une étrange usurpation d’adresse e-mail.

C’est en ouvrant comme tous les jours sa boîte Hotmail que Laurence tombe de sa chaise. Le lundi 28 mars dernier, elle reçoit sur son adresse e-mail un courriel intitulé « Recommandation HADOPI », qui lui assure que son « accès à Internet a été utilisé pour mettre à disposition, reproduire, ou accéder à des œuvres culturelles protégées par un droit d’auteur« , et que ces actes « constituent un délit sanctionné par les tribunaux« . Elle est donc invitée à « veiller à ce que cet accès ne fasse pas l’objet d’un usage frauduleux« . Stupeur. Laurence n’a jamais utilisé le moindre logiciel de P2P, ne télécharge pas illégalement, et n’a aucune raison de croire que son accès a pu être utilisé par quiconque sans son contrôle.

C’est alors qu’elle va plus loin dans la lecture du mail, conforme au modèle type, et découvre que le téléchargement allégué a été réalisé trois semaines plus tôt, le 9 mars, sur une adresse IP qui n’est pas la sienne. Plus étrange encore, le courriel précise que son fournisseur d’accès est Free, alors qu’elle est abonnée chez Numericable. C’est là qu’elle comprend qu’il y a erreur dans le destinataire. L’avertissement est en fait adressé à un certain Jean-Yves, qui habite dans les Bouches-du-Rhône. Or Laurence habite Paris. Seul point commun : Jean-Yves a exactement le même nom de famille que Laurence.

Mais comment a-t-elle pu recevoir sur son adresse mail un message destiné à quelqu’un qui, s’il porte le même nom de famille, lui est totalement inconnu et habite à des centaines de kilomètres ? La Commission de protection des droits de l’Hadopi, qui envoie les e-mails, n’a pas pu se tromper dans la saisie de l’adresse qui lui est fournie par le fournisseur d’accès à Internet. Le système est automatisé. Par ailleurs Free, qui a communiqué les coordonnées de Jean-Yves, n’a pas pu se tromper et associer à ce compte l’adresse e-mail de Laurence, qui n’est pas sa cliente. Dès lors, le problème ne peut venir que d’une malveillance.

Contacté, Free confirme que Jean-Yves a bien saisi l’adresse e-mail de Laurence comme adresse de messagerie principale sur son compte client. Pour en avoir le coeur net, Laurence utilise le formulaire de renvoi d’identifiants de Free en entrant le code postal de Jean-Yves pour vérification, et reçoit bien un courriel de l’opérateur sur son adresse hotmail. L’usurpation est avérée.

Ce qui pose plusieurs questions :

  • Jean-Yves a-t-il cru, très naïvement, que saisir une adresse e-mail qui n’est pas la sienne le mettrait à l’abri de l’Hadopi, alors que c’est l’envoi qui fait foi et non la réception ?
  • Dès lors que l’administration est susceptible d’y faire envoyer des messages ayant un effet juridique, les fournisseurs d’accès à Internet ne devraient-ils pas avoir l’obligation de vérifier la propriété de l’adresse e-mail qui leur est fournie ? C’est une précaution prise pour l’adresse postale, avec le justificatif de domicile, qui pourrait être réalisée simplement en envoyant un message de demande de confirmation à l’adresse indiquée.
  • Y a-t-il, au regard de la CNIL et du respect de la vie privée, un risque juridique pour l’Hadopi à envoyer un avertissement personnel à une adresse e-mail dont la propriété n’a pas été vérifiée ?

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !