Journal d'investigation en ligne et d'information‑hacking
Édito
par bluetouff

TMG : A propos de la mise en demeure de test de la CNIL

Vous n'aurez pas manqué que l'audit hyper top ultra secret de la CNIL a... fuité. Chez Electron Libre. Chez Reflets, nous n’avons pas eu le privilège d'être mis dans le secret, ce malgré notre effort initial de transparence... et même notre effort répété. Ce serait ne pas être trop susceptible que de penser que c 'en est presque vexant non ? Trêve de plaisanterie. Je ne voulais initialement pas "trop commenter" le secret qui entoure ce sacro saint rapport.

Vous n'aurez pas manqué que l'audit hyper top ultra secret de la CNIL a... fuité. Chez Electron Libre. Chez Reflets, nous n’avons pas eu le privilège d'être mis dans le secret, ce malgré notre effort initial de transparence... et même notre effort répété. Ce serait ne pas être trop susceptible que de penser que c 'en est presque vexant non ? Trêve de plaisanterie.

Je ne voulais initialement pas "trop commenter" le secret qui entoure ce sacro saint rapport. Mais aujourd'hui, @ZaraA me pousse à le faire. Si je ne doute pas un instant de la bienveillance de l'analyse d'Emmanuel qui après la publication de son article vient nous raconter, en commentaire à ce billet, qu'une foule de détails techniques pourraient venir compromettre la sécurité de TMG et que c'est là le seule argument à opposer à la divulgation de ce rapport... et bien ceci a des raisons, de bonnes raisons, de me mettre en colère.

Pourquoi je suis  pas joisse ?

La fuite de données personnelles "de test" initiale de TMG est, comme pour tous les incidents de ce type, la résultante d'une somme d'erreurs. La première, que la CNIL répète ici en ne publiant pas ce rapport, c'est celle de faire le choix de l'obscurantisme comme politique de sécurité.

Aux USA, depuis pas mal de temps, quand une entreprise est victime d'une fuite impliquant des données personnelles de clients, institutionnels ou particuliers, elle est tenue de rendre public l'incident.

En mai 2010, une proposition de loi des sénateurs Détraigne et Escoffier, allant dans le même sens que la loi américaine, était votée en 1ère lecture par le Sénat. Depuis plus rien. L'explication en est simple, on va se manger un bundle paquet télécom qui doit faire l'objet de transpositions dans notre droit. Qui dit transposition de directives européennes dit harmonisation des règles sur la vie privée et la gestion des données personnelles... ça c'est fait, on y coupera pas.

"Quand le tonnerre éclate, il est trop tard pour se boucher les oreilles ». Sun Tzu.

Cette petite digression juridique étant faite, passons maintenant au problème de fonds. Je parlais à l'instant de sécurité par l'obscurantisme, mais ce terme risquant de ne pas parler à tout le monde, je vais me permettre une analogie au moins aussi ridicule que le coup des feux rouges et des panneaux "interdiction de marcher sur la pelouse" que Christine Albanel et Franck Riester nous claironnaient pendant les débats parlementaires sur HADOPI :  Quand un bateau prend l'eau, on commence par évacuer les passagers. On le met ensuite en cale sèche pour y porter des réparations... sinon, il coule, ou il dérive jusqu'au prochain iceberg. Laisser TMG connecté, "le temps de réparer", frise l'inconscience, ou confine à la débilité profonde. Comme je ne crois pas qu'il s'agisse d'inconscience ou de débilité profonde, j’entrevois des raisons plus... politiques. Mais de grâce ne me servez pas l'argument de la sécurité, pas à moi.

Si vous m'avez bien entendu, vous devez commencer à comprendre ce que je reproche à la CNIL, et surtout ce que je reproche au commentaire, ainsi qu'à l'article d'Emmanuel.

L'argument qui consiste à dire que le rapport ne peut être divulgué sous peine de mettre en péril l'architecture de TMG m'énerve : qu'ils déconnectent leur daube une fois pour toute, qu'ils la fixent, et qu'ils reviennent quand ils sont prêts... stop. Ceci ne devrait souffrir aucune objection et aucun contre argument qui de toutes façons m’apparaîtrait fallacieux.

Emmanuel, le fait que tu te défendes, toi qui a ce rapport entre les mains, de le publier, en te permettant de le commenter m'agace sincèrement. Quand tu dis "le doc est suffisamment fourni en détails pour représenter un risque. Car TMG n’avait visiblement pas compris qu’il fallait sécuriser un minimum tout ça… » c'est tout simplement que tu cautionnes et entérines la principale erreur de ce dispositif de collecte. La railler c'est bien, mais avoir un avis un tantinet plus poussé là dessus que le simple fait d'écouter les bons conseils de la personne qui a leaké ce rapport, serait bienvenu. Ou alors c'est que tu n'as pas tout dit et surtout, que la "sécurité" des infrastructures de la riposte graduée n'est pas l'argument qui t'empêche de leaker publiquement ce rapport... oui je sais, je brûle.

Cette opacité autour de ce rapport d'audit de la CNIL, me pousse à dire que ceci se reproduira, inéluctablement, et se reproduira encore et toujours, tant que TMG, ayants-droit, HADOPI et CNIL (pour le coup je mets tout le monde dans le même sac), n'auront pas compris ce concept de base. Te concernant Emmanuel, ton commentaire frise l'insulte à notre intelligence, j'espère que nous aurons l'occasion d'en causer une fois que ce rapport sera public... car oui il le sera, c'est une certitude.

Déconnectez moi TMG une bonne fois pour toutes et passons à autre chose... que diriez vous de la rémunération des artistes ?

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée