Des adresses IP destinées à l’Hadopi auraient été découvertes sur un serveur "sans protection" [MàJ]

Selon le blogueur Bluetouff, plusieurs adresses IP d'internautes auraient été découvertes sur un serveur utilisé par Trident Media Guard (TMG). Cette société privée est chargée, pour le compte de l'Hadopi, de recueillir les IP d'internautes qui téléchargent sur les réseaux P2P.

Selon le site Reflets, un serveur appartenant à la société nantaise TMG n'aurait pas été suffisamment sécurisé et laisserait apparaître des informations comme des adresses IP pouvant appartenir à des internautes français. Le bloggeur explique ainsi avoir recueilli plusieurs types d'informations comme « un exécutable, un password en clair dans un file de config, des hashing torrent des œuvres surveillées pour piéger les internautes partageurs, les scripts de traitement des logs, les IP des connectés aux peers ».

Pour rappel, la société TMG (Trident Media Guard) est la seule société habilitée par la Cnil à collecter les adresses IP des internautes qui téléchargent illégalement du contenu protégé. Ce prestataire technique a donc à sa charge la surveillance des réseaux P2P pour le compte de l'Hadopi. Concrètement, elle doit surveiller une liste d'œuvres protégées puis transmettre à l'autorité les adresses IP repérées.

Contactée par la rédaction, l'Hadopi est restée relativement silencieuse à ce sujet. La haute autorité a simplement indiqué quelle « prenait très au sérieux cette affaire » sans indiquer quelles sont les mesures qu'elle comptera prendre dans les heures à venir. En attendant, certains hashs de fichiers téléchargés sont déjà visibles sur Pastebin...

De son côté, la Cnil n'a, pour l'instant, pas répondu à nos demandes d'entrevue au sujet d'une éventuelle enquête ou d'approfondissements à propos de ces pertes de données. Pourtant la Cnil, pourrait se pencher sur le cas TMG prochainement puisque si la Commission n'est pas à proprement parler garante de la sécurité d'une base d'informations, elle impose néanmoins des obligations en matière de conservation des données personnelles.

En effet, bien qu'elle n'identifie pas directement une personne physique (mais un poste), une adresse IP est considérée comme une donnée personnelle par la Cnil. De même, la Commission Informatiques et Libertés avait déjà critiqué le procédé utilisé par l'Hadopi pour recueillir les adresses IP. En septembre dernier, elle mettait le doigt dans la porte en regrettant que les « premières étapes de la riposte graduée (envoi d'email et de lettre recommandée) reposent uniquement sur la collecte opérée par le système de TMG. Votre rapporteur considère qu'il serait préférable que le système de collecte soit homologué par un tiers de confiance ».

Pire, lors de sa création, certaines personnes au sein même de l'Hadopi regrettaient que ne soit « labellisée » qu'une seule méthode de traque des IP. Pour faire taire certaines critiques, l'Hadopi avait alors promis de réaliser un audit des activités de la société par un expert judiciaire. Suite à cette perte d'informations, un comité d'experts techniques devrait également être dépêché...

Version originale de l'article publiée le 16/05/2011 à 11h13

Mise à jour : « Par mesure de précaution », Eric Walter, secrétaire général de l'Hadopi, a expliqué sur son compte Twitter que l'interconnexion entre la haute autorité et le prestataire TMG a été provisoirement suspendue. De même, le blogueur Bluetouf (Olivier Laurelli) devrait être entendu par la Commission de protection des droits (CPD) de l'Hadopi afin qu'il précise la nature de sa découverte.