Journal d'investigation en ligne et d'information‑hacking
Édito
par Rédaction

TMG et le risible déni de Marc Guez

Dans un mail rendu public sur Electron Libre, Marc Guez s'adonne à un exercice de style pour le moins périlleux, portant des accusations étranges. Dans quelques lignes, monsieur, Guez, vous risquez de ressentir ce qu'il convient d'appeler un grand moment de solitude. Nous vous prions donc de bien vouloir par avance nous en excuser, mais cette mise au point n'en demeure pas moins nécessaire.

Dans un mail rendu public sur Electron Libre, Marc Guez s'adonne à un exercice de style pour le moins périlleux, portant des accusations étranges. Dans quelques lignes, monsieur, Guez, vous risquez de ressentir ce qu'il convient d'appeler un grand moment de solitude. Nous vous prions donc de bien vouloir par avance nous en excuser, mais cette mise au point n'en demeure pas moins nécessaire.

Dans ce mail, adressé à un certain "cher tous", mais qui n'est pas un communiqué, vous indiquez que le serveur sans aucune protection de TMG a été piraté. Vu d'ici, il va être compliqué de masquer votre propre négligence caractérisée derrière ce mot. D'ailleurs, on sent bien que le sujet est peu maîtrisé, l'exercice sémantique n'en devient donc que plus compliqué.

En suivant votre tortueux raisonnement, si vous lisez actuellement ce billet, c'est que vous aussi vous avez "piraté" un serveur, celui de Reflets.info. A moins que vous n'ayez pas compris le sens du mot "piratage", appliqué aux technologies Internet. Ce qui serait inquiétant, vu l'usage immodéré qui en est fait par l'industrie de la culture.

La lecture d'un contenu public, publié sur Internet et accessible via un simple navigateur, sans aucune identification au serveur, n'est pas considérée par la justice comme un piratage. Et bien entendu, sur un plan purement technique, ce n'est pas non plus un piratage.

Passons maintenant aux choses moins amusantes pour vous. A la lumière de la loi et de ses décrets d'application, il apparaît qu'il est de votre responsabilité d'auditer votre prestataire, ce de manière trimestrielle pour éviter ce genre de mésaventures. Il semble que vous n'ayez pas rempli ce qui ressemble tout de même à une obligation légale, ou au moins, à une vive recommandation de la CNIL conditionnant l'autorisation de collecte d'adresses IP attribuée à TMG dans le cadre de la riposte graduée... riposte... graduée... sanction... entreprise privée... sans contrôle... vous nous suivez toujours ?... Parfait!

Revenons posément à votre lettre adressée à la filière du disque.

Suite à l’information publiée dans la presse sur le piratage d’un serveur de TMG, TMG nous a informés que le serveur effectivement piraté était un serveur de tests de TMG (sans lien avec les traitements HADOPI), qui n’était pas protégé car ne contenant pas d’infos confidentielles. Les serveurs TMG utilisés pour l’HADOPI n’ont pas été piratés et aucune donnée confidentielle n’a donc fuité à l’extérieur de TMG ou de l’HADOPI.

Attention, dans un paragraphe, M. Guez, vous allez être ridicule.

Votre première phrase est intéressante en soi. D'une part vous indiquez que le serveur a été piraté, d'autre part, vous précisez qu'il n'était pas protégé. Il faudrait savoir. Les données contenues n'étaient pas protégées et donc accessibles à tous mais pour accéder à des données non protégées et accessibles il aurait fallu pirater le serveur ? C'est à dire contourner un dispositif de sécurité, même ridicule. Il devait être bien caché ce dispositif... personne chez nous n'en a trouvé trace, assurément une erreur d'inattention de notre part.

Les données auxquelles Reflets.info a pu avoir accès n'étaient pas confidentielles ? Merci... mais à d'autres svp, il n'y a que le cabinet d'un ministre de la culture pour penser que quelques gus dans un garage forgent de fausses adresses IP. La forge d'adresses IP nécessite un savoir faire que seuls quelques compagnons maitrisent. Ces techniques ancestrales ne sont enseignées à notre connaissance que dans un seul ouvrage intitulé TRAITÉ De l’Art Juste de Fabriquer des Adresses Hypées (une bien saine lecture, oeuvre du compagnon Bayart, que la rédaction vous recommande chaudement).

Plus sérieusement, il eut été intéressant que vous nous précisiez ce qu’est, à votre avis, une donnée confidentielle. Peut-être considérez-vous que des adresses IP d’internautes ne sont pas des données confidentielles... Pour notre part, il nous semble (c'est aussi l'avis de la CNIL soit dit en passant) qu'il s'agit de données personnelles devant, aux termes de la loi, être protégées :

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Journal Officiel du 7 janvier 1978 )

Article 34

« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

Article 226-17 du Code Pénal:

« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l'article 34 de la loi nº 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. »

Il eut été également assez intéressant que vous détailliez les informations vous permettant d'affirmer que "Les serveurs TMG utilisés pour l’HADOPI n’ont pas été piratés et aucune donnée confidentielle n’a donc fuité à l’extérieur de TMG ou de l’HADOPI." Est-ce que vous disposez d'un audit informatique clair et incontestable pour affirmer  cela ?

Ce serveur était accessible pour tous les internautes depuis très longtemps. D'ailleurs on ne sait pas trop ce que TMG a bien voulu vous dire, mais sachez monsieur Guez, que nous sommes à Reflets.info, en mesure de prouver que le serveur et ces fuites étaient accessibles depuis juin 2010 (et peut-être même bien avant)... quelques données personnelles en moins. Tous les internautes ne sont pas bien intentionnés. Certains auraient pu, à notre avis, se servir du contenu du serveur pour pirater (oui, dans ce cas, le mot est pertinent) le réseau de TMG et peut-être même celui de la Haute autorité puisqu'une interconnexion existe entre TMG et l'HADOPI.

Le simple doute devrait vous amener à plus d'humilité et à revoir l'ensemble de votre dispositif répressif de justice privatisée.

Enfin, sur le plan de la ridiculitude, vous noterez que vous êtes démenti par le patron de TMG lui même qui dément que son serveur ait été piraté (voir image ci-contre issue d'un article de 01Net).

Cadeau bonux, Reflets.info pointe pour vous un article de loi pas inintéressant : l'article 29 de la Loi du 29 juillet 1881 sur la liberté de la presse.

Toute allégation ou imputation d'un fait qui porte atteinte à l'honneur ou à la considération de la personne ou du corps auquel le fait est imputé est une diffamation. La publication directe ou par voie de reproduction de cette allégation ou de cette imputation est punissable, même si elle est faite sous forme dubitative ou si elle vise une personne ou un corps non expressément nommés, mais dont l'identification est rendue possible par les termes des discours, cris, menaces, écrits ou imprimés, placards ou affiches incriminés. Toute expression outrageante, termes de mépris ou invective qui ne renferme l'imputation d'aucun fait est une injure.

Imputer un acte de piratage informatique à quelqu'un qui ne l'a pas commis, de l'aveu même du propriétaire du serveur en question, c'est... comment dire... peu urbain.

Annexe : Hype Flore

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée