TMG : A propos de la mise en demeure de test de la CNIL

wtfVous n’aurez pas manqué que l’audit hyper top ultra secret de la CNIL a… fuité. Chez Electron Libre. Chez Reflets, nous n’avons pas eu le privilège d’être mis dans le secret, ce malgré notre effort initial de transparence… et même notre effort répété. Ce serait ne pas être trop susceptible que de penser que c ‘en est presque vexant non ? Trêve de plaisanterie.

Je ne voulais initialement pas « trop commenter » le secret qui entoure ce sacro saint rapport. Mais aujourd’hui, @ZaraA me pousse à le faire. Si je ne doute pas un instant de la bienveillance de l’analyse d’Emmanuel qui après la publication de son article vient nous raconter, en commentaire à ce billet, qu’une foule de détails techniques pourraient venir compromettre la sécurité de TMG et que c’est là le seule argument à opposer à la divulgation de ce rapport… et bien ceci a des raisons, de bonnes raisons, de me mettre en colère.

Pourquoi je suis  pas joisse ?

La fuite de données personnelles « de test » initiale de TMG est, comme pour tous les incidents de ce type, la résultante d’une somme d’erreurs. La première, que la CNIL répète ici en ne publiant pas ce rapport, c’est celle de faire le choix de l’obscurantisme comme politique de sécurité.

Aux USA, depuis pas mal de temps, quand une entreprise est victime d’une fuite impliquant des données personnelles de clients, institutionnels ou particuliers, elle est tenue de rendre public l’incident.

En mai 2010, une proposition de loi des sénateurs Détraigne et Escoffier, allant dans le même sens que la loi américaine, était votée en 1ère lecture par le Sénat. Depuis plus rien. L’explication en est simple, on va se manger un bundle paquet télécom qui doit faire l’objet de transpositions dans notre droit. Qui dit transposition de directives européennes dit harmonisation des règles sur la vie privée et la gestion des données personnelles… ça c’est fait, on y coupera pas.

« Quand le tonnerre éclate, il est trop tard pour se boucher les oreilles ». Sun Tzu.

Cette petite digression juridique étant faite, passons maintenant au problème de fonds. Je parlais à l’instant de sécurité par l’obscurantisme, mais ce terme risquant de ne pas parler à tout le monde, je vais me permettre une analogie au moins aussi ridicule que le coup des feux rouges et des panneaux « interdiction de marcher sur la pelouse » que Christine Albanel et Franck Riester nous claironnaient pendant les débats parlementaires sur HADOPI :  Quand un bateau prend l’eau, on commence par évacuer les passagers. On le met ensuite en cale sèche pour y porter des réparations… sinon, il coule, ou il dérive jusqu’au prochain iceberg. Laisser TMG connecté, « le temps de réparer », frise l’inconscience, ou confine à la débilité profonde. Comme je ne crois pas qu’il s’agisse d’inconscience ou de débilité profonde, j’entrevois des raisons plus… politiques. Mais de grâce ne me servez pas l’argument de la sécurité, pas à moi.

Si vous m’avez bien entendu, vous devez commencer à comprendre ce que je reproche à la CNIL, et surtout ce que je reproche au commentaire, ainsi qu’à l’article d’Emmanuel.

L’argument qui consiste à dire que le rapport ne peut être divulgué sous peine de mettre en péril l’architecture de TMG m’énerve : qu’ils déconnectent leur daube une fois pour toute, qu’ils la fixent, et qu’ils reviennent quand ils sont prêts… stop. Ceci ne devrait souffrir aucune objection et aucun contre argument qui de toutes façons m’apparaîtrait fallacieux.

Emmanuel, le fait que tu te défendes, toi qui a ce rapport entre les mains, de le publier, en te permettant de le commenter m’agace sincèrement. Quand tu dis « le doc est suffisamment fourni en détails pour représenter un risque. Car TMG n’avait visiblement pas compris qu’il fallait sécuriser un minimum tout ça… » c’est tout simplement que tu cautionnes et entérines la principale erreur de ce dispositif de collecte. La railler c’est bien, mais avoir un avis un tantinet plus poussé là dessus que le simple fait d’écouter les bons conseils de la personne qui a leaké ce rapport, serait bienvenu. Ou alors c’est que tu n’as pas tout dit et surtout, que la « sécurité » des infrastructures de la riposte graduée n’est pas l’argument qui t’empêche de leaker publiquement ce rapport… oui je sais, je brûle.

Cette opacité autour de ce rapport d’audit de la CNIL, me pousse à dire que ceci se reproduira, inéluctablement, et se reproduira encore et toujours, tant que TMG, ayants-droit, HADOPI et CNIL (pour le coup je mets tout le monde dans le même sac), n’auront pas compris ce concept de base. Te concernant Emmanuel, ton commentaire frise l’insulte à notre intelligence, j’espère que nous aurons l’occasion d’en causer une fois que ce rapport sera public… car oui il le sera, c’est une certitude.

Déconnectez moi TMG une bonne fois pour toutes et passons à autre chose… que diriez vous de la rémunération des artistes ?

Twitter Facebook Google Plus email


16 thoughts on “TMG : A propos de la mise en demeure de test de la CNIL”

    1. Hello mon Bituur, c’est pas nouveau, ça me démangeais de commenter la mise en demeure, ce que je me retiens de faire in extenso ici encore. Il y a bien plus à en dire en fait. Mais bon j’ai dit que j’arrêtais de me faire des nouveaux copains pour l’instant pour pouvoir bosser plus sereinement ;)

  1. TL;DR
    Si la publication d’un simple rapport d’analyse post-(soit disant faux) hack de test « suffirait » à compromettre TMG, c’est que le problème n’est pas le rapport, et tmg n’est clairement pas sécurisé.

    Dire le contraire, ce serait comme laisser un ssh sans mot de passe ouvert, faire un audit de sécu, le noter en grand dedans, ne rien fixer, mais ne pas le publier parceque « si quelqu’un lit ça on risque de se faire hack attention »

  2. Bonjour,
    Merci pour ce commentaire.
    Plusieurs choses : il n’y a pas eu fuite de données sur un seveur Hadopi. Pas de raison alors, d’autant que le loi n’existe pas, que le process qui a mené à cette faille – qui n’en est pas une, dans le sens où rien n’était à protéger – soit divulgué. En revanche que la CNIL s’en émeuve … 6 mois après des demandes répétées de l’hadopi d’un audit, c’est assez cocasse.
    Dans le document, que nous avons, il est donné des détails suffisants pour, en effet, mener une bonne attaque contre le réseau TMG (notamment on y trouve les moyens de cryptage, et ils sont à pleurer de rire). Ce dernier n’est pas suffisamment protégé. Disons que son niveau est celui d’une entreprise ordinaire, donc largement insuffisant, à l’heure actuelle, pour une mission qui déchaine le geek en chaleur; on a les fantasmes que l’on peut, cela ne concerne évidemment pas reflets.info, qui n’y aurait aucun intérêt vu les relations contractuels existantes…
    La CNIL a demandé aux ayant droit que cela soit fait. Que les mesures de sécurité soient augmentées. Tant mieux ou non, je m’en fiche. En revanche que dans le laps de temps, sachant TMG vulnérable, le CNIL balance à une dizaine de correspondants (mais pas nous, si vous voulez savoir d’où nous l’avons eu, faudra chercher encore), le document complet, c’est de la pure bêtise…
    Simple non ?
    Le reste n’appelle aucun commentaire, c’est hors sujet.

    1. Bah ya pas de faille alors ?
      Donc on peut publier ce doc !

      Ah c’est dangereux ?
      Donc ya une faille…
      …Donc il faut bien publier ce document, pour que tout le monde le voit et arrêter de protéger cette SOCIETE PRIVEE parcequ’elle marche a la solde des ayants droits.

      Bref tu sais plus sur quel pied danser tellement z’en ont jusqu’aux genous

    2. Accessoirement, il vous reste la possibilité de voir avec bluetouff pour divulguer intégralement le document une fois le réseau soit disant sécurisé.

      Pourquoi ? car les raisons de son secret n’auront plus lieu d’être, Eh oui, le réseau devrait être sécurisé d’ici septembre.

      Comme ça, notre blogueur favoris sera heureux de voir ce document publié et vous aurez agis en bon protecteur des milices privés. ;)

  3. « le CNIL balance à une dizaine de correspondants (mais pas nous, si vous voulez savoir d’où nous l’avons eu, faudra chercher encore), le document complet, c’est de la pure bêtise…
    Simple non ?
    Le reste n’appelle aucun commentaire, c’est hors sujet. »

    ouais, bon… je veux bien, hors sujet, tout ça… les 10 correspondants, les couilles de ma grand-mère et la moustache de ma tante Eugénie…

    Et pendant ce temps, l’Hadopi continue à envoyer ses mails (?) les 10 premiers gus qui doivent passer au tribunal, on en est où (?)

    … en clair, je dois commencer à affûter ma hache ?

  4. Je trouve le concept de la « vierge effarouchée » un peu moyen. Soit ce doc a été diffusé (et les failles éventées) et le problème ne se pose plus (TMG est mauvais, faut finir par l’admettre), soit les failles sont lourdes et il n’est pas très malin d’avoir diffusé ce rapport aux 10 correspondants (et la, c’est la CNIL qui est mauvaise). Dans ce monde de mauvais, je vote effectivement pour la conclusion de Bluetouff, on a assez entendu de conneries autour de tout ça…

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *