L’affaire TMG prend une tournure étrange qui peut trahir un certain malaise. Chargée de protéger les libertés, la CNIL a porté plainte contre le site Electron Libre à qui elle semble reprocher d’avoir usé de sa liberté d’expression pour communiquer le contenu d’un rapport sur la société qui collecte les adresses IP destinées à l’Hadopi.

Souvenez-vous. Avant l’été, des données issues d’un serveur de la société nantaise chargée de collecter les adresses IP des internautes pour les transmettre à l’Hadopi avaient fuité, laissant présager la possibilité d’une importante faille de sécurité dans la riposte graduée. Tout a été fait depuis pour minimiser la portée de l’affaire, l’Hadopi se contentant du minimum syndical en suspendant la réception automatisée des adresses IP, sans interrompre ses relations commerciales avec TMG. La riposte graduée étant dépendante de cette seule société privée (sic), l’autorité administrative continuait de recevoir les adresses IP sur un support physique envoyé régulièrement par la Poste. Finalement, l’enquête ouverte par la CNIL s’est close le mois dernier, sans aucune sanction à l’égard de TMG.

Tout juste sait-on que la CNIL avait jugé, dans une mise en demeure, que la société s’était rendue coupable d’un « certain nombre de manquements aux obligations de sécurité, incompatibles avec l’activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant la bonne application de ces mesures« . Contredisant le discours officiel de l’Hadopi, la CNIL avait aussi précisé que les failles détectées par ses agents chez TMG concernaient aussi « les traitements mis en œuvre pour le compte de ses clients – les sociétés de gestion des droits d’auteur- dans le cadre du dispositif dit « de réponse graduée »« , et non pas seulement des serveurs de tests.

Cependant, la CNIL a porté plainte contre le site Electron Libre, à qui elle reproche la publication d’un article du 7 juillet 2011 qui l’accusait par ironie d’avoir elle-même fait preuve de négligence dans la sécurisation de son rapport. « La CNIL a tiré un document de synthèse de quatorze pages, que nous nous sommes procurés… Celui-ci décrit dans le détail le dispositif « secret » de TMG dans le cadre de la riposte graduée. C’est certainement là la plus grosse fuite depuis que cette loi a été votée, mais elle vient de la CNIL« , écrivaient nos confrères. Ils expliquaient en substance que le rapport contenait des informations si précises qu’entre de mauvaises mains, il aurait pu permettre à un hacker d’attaquer les serveurs de TMG et la riposte graduée.

Ce rapport que s’était procuré EL démontrait notamment que la base de données de la riposte graduée, hautement sensible, reposait « sur un simple mot de passe, détenu par un seul compte chez TMG« . C’est-à-dire, devine-t-on, par un seul ensemble login/mot de passe partagé par toute la société. Par ailleurs, « détail amusant, le cryptage n’est pas des plus poussés« , indiquait EL à la lecture du rapport.

La plainte, dont le site ne connaît pas encore le fondement juridique, a donné lieu à une enquête du parquet. Le directeur de la publication est convoqué la semaine prochaine à un interrogatoire, où lui sera probablement expliqué ce qu’on lui reproche exactement.

De là à penser que la plainte vise à identifier la source du journaliste, il n’y a qu’un pas.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.