Un extrait des fichiers publiés sur Internet et extraits des serveurs de TMG. D.R.

Des informations collectées par la société Trident Media Guard (TMG), seule entreprise habilitée à procéder à des repérages d'adresses IP (Internet protocol) sur les réseaux de téléchargement P2P pour le compte d'ayants droit, ont été librement accessibles sur l'un des serveurs de l'entreprise pendant plusieurs jours. Révélée par le spécialiste en sécurité informatique Olivier Laurelli, la faille de sécurité permettait notamment d'accéder à des fichiers de relevés effectués par TMG.

TMG est un maillon essentiel dans le procédé dit de "riposte graduée" mis en place par l'Hadopi. En se connectant aux réseaux P2P2, cette entreprise collecte les adresses IP d'ordinateurs suspectés de télécharger illégalement des fichiers, qu'il s'agisse de films ou de musique. Agissant pour le compte des ayants droit, elle transmet ensuite ses relevés à la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet, qui décidera ensuite d'envoyer ou non un avertissement au titulaire de la ligne. Le premier avertissement prend la forme d'un email, le second d'une lettre recommandée, et en cas de troisième constatation, l'Hadopi peut décider de transmettre le dossier au parquet, ouvrant une procédure qui peut aboutir à des peines d'amende et à la suspension de l'accès à Internet.

SUSPENSION DE L'INTERCONNEXION AVEC L'HADOPI

Les fichiers contenaient les informations permettant de faire le lien entre une adresse IP et un fichier téléchargé. Contactée par Numerama, l'Hadopi affirme prendre l'affaire "très au sérieux", et devrait entendre mercredi Olivier Laurelli pour évoquer la faille de sécurité. Selon ce dernier, aucune compétence particulière ou action illégale n'était nécessaire pour accéder aux données : le serveur sur lequel elles étaient stockées n'étaient tout simplement pas verrouillé. Très critiquée par les opposants à la Haute Autorité, mais aussi par la Commission nationale informatique et liberté qui lui a cependant délivré l'autorisation de procéder à la collecte d'adresses, TMG doit être le sujet d'une réunion de la commission des droits de l'Hadopi, mercredi, portant sur la manière dont le fonctionnement de la société serait audité par la Haute Autorité.

Dans l'intervalle, la Haute Autorité a annoncé lundi soir qu'elle suspendait l'interconnexion de ses services avec TMG. En attendant la vérification des procédures, la Haute autorité traitera les constats déjà transmis par TMG. Pour sa défense, l'entreprise a expliqué à 01Net que les données publiées sur Internet ont été prises sur un serveur de test, sans lien avec les informations transmises à l'Hadopi. D'autres informations sensibles se trouvaient cependant sur le serveur, dont une copie du logiciel utilisé par TMG pour surveiller les réseaux, explique Olivier Laurelli.

Le Monde