Un lecteur a souhaité témoigner anonymement pour exprimer son expérience de travail au sein de la société TMG. Rappelons le brièvement, cette startup a été nommée comme responsable de la collecte de données dans le cadre de la loi création et Internet dite Hadopi (comprendre TMG cafte, Hadopi sanctionne). Pour des besoins évidents d’anonymat, nous appellerons notre interlocuteur Gorge Profonde.

Bonjour Gorge Profonde, peux-tu présenter ton background technique ?

J’ai choisi une formation assez polyvalente pour potentiellement toucher à tout vu que trouver un travail reste une chose pas toujours facile, même dans l’ingénierie informatique. Je cumule donc des formations en développement logiciel, web, création et administration de réseaux et gestion de projet. Je suis également autodidacte en sécurité informatique, comme beaucoup de gens dans ce milieu.

Quel était ton poste chez TMG, puis ton lien fonctionnel avec Hadopi ?

Je ne travaillais pas directement sur la partie « HADOPI » qui au final ne nécessitait que très peu de travail (composée de 2 serveurs et 2 techniciens, le tout étant automatisé au maximum). J’intervenais sur d’autres méthodes de protection d’ayants-droits au sein de cette société, dans l’anti-piratage sans rentrer dans les détails car je pourrais risquer gros à divulguer certaines infos. Mais comme c’était une société très petite au moment où j’y travaillais (une vingtaine de personnes, doit d’ailleurs pas y en avoir beaucoup plus à présent) j’ai pu voir comment fonctionnent les différents secteurs d’activité de celle-ci dans les détails.

Comment as-tu vécu le fait d’être embauché par le Big Brother français ?

Et bien très honnêtement j’étais très content d’y atterrir, c’est tellement la galère de trouver un job que de toutes façons je n’allais pas refuser pour des questions éthiques, faut bien bouffer! Mais sinon on entendait déjà beaucoup parler de TMG à travers le web, tout ce qui s’y passe est très secret et très contrôlé, je ne savais d’ailleurs pas sur quoi j’allais travailler avant d’y être officiellement embauché. En soi le fait de savoir que cette boite « surveille la France » m’a juste donné envie d’en savoir un peu plus sur « comment techniquement » c’était mis en place.

As-tu eu des envies de jouer l’agent double ?

Tous les jours bien sûr! On se voit direct en James Bond en entrant là-dedans! Mais tout est très contrôlé dans l’entreprise (et ils ont raison, beaucoup de données sensibles y transitent). Avec le recul et l’expérience je sais à présent qu’il n’y avait pas grand-chose de si impressionnant dans les dispositifs déployés et que faire « l’agent double » ne m’aurait rien apporté si ce n’est des démêlés avec la justice. Vraiment aucun intérêt.



« Beaucoup d’argent est injecté dans la communication sur cet outil gouvernemental »



Le pays tout entier crache sur Hadopi et certains sites web comme NextINpact ou Numerama se sont fait une spécialité dans le « Hadopi/TMG bashing » : comment tu le vivais ?

Et bien tous ces gens se plantent sur beaucoup de points en fait, HADOPI n’est qu’un écran de fumée, alors certes il y a recueil d’informations par TMG, suivi d’une transmission à la HADOPI, et réaction de celle-ci. Mais surtout, beaucoup d’argent est injecté dans la communication sur cet « outil gouvernemental ». Au final, la meilleure arme du dispositif HADOPI n’est pas la division technique TMG, mais bel et bien le système de communication. Le simple effet d’annonce et quelques affaires lancées au début de cette mise en place a créé une baisse de près de 50% des trafics P2P. Peu de temps après on enregistrait 70% de baisse de fréquentation des réseaux P2P de manière stable. La peur de la réprimande est bien plus forte que la réprimande elle-même pour la population. Ensuite le bashing TMG est contre-productif, au final ce ne sont qu’une bande de bons gars qui font leur job dans une toute petite startup qui a trouvé un filon pas dégueu dans la sécurité pour se financer, mais très honnêtement le coût temporel et humain passé sur le projet HADOPI par TMG est ridicule comparé aux autres secteurs d’activité de l’entreprise, sur lesquels ils sont très compétents.

Je me rappelle l’histoire du fameux serveur qui aurait été piraté chez TMG… Ça a fait grand scandale à l’époque… Bon, la vérité, c’était un serveur de test inutilisé depuis des mois laissé à l’abandon et sans aucun intérêt stratégique, certes il avait listé des adresses IP françaises, sans possibilité réelle de savoir pourquoi et dans quel but elles étaient là. M’enfin, n’importe qui peut faire pareil avec très peu de connaissances informatiques. À l’époque ça avait fait le bad buzz pour TMG mais c’était une histoire ridicule à faire sourire… Jusqu’à ce que le gouvernement se dise « Ha ! TMG n’est pas sécurisé, on refuse d’être connectés directement à votre réseau, il n’est pas fiable ! ». Résultat des courses : régulièrement un employé prenait taxi et avion pour envoyer les données au gouvernement en mains propres, sur un disque dur. Encore une réaction totalement ridicule de notre gouvernement qui n’écoute aucunement ses propres techniciens.

Aviez-vous des objectifs de rendement ? Est-ce que les équipes étaient motivées ?

Sur mon secteur (que je ne détaillerai pas ici) et sur d’autres sur lesquels travaille TMG oui, sur les autres (comme le recueil HADOPI) non, ou en tout cas je n’en ai pas eu connaissance, de toute façon cela semblait totalement rocambolesque d’imposer des quotas de surveillance, TMG trace 25 000 adresses IP de gens utilisant les réseaux P2P chaque jour, en résultat la volumétrie de courriers effectifs envoyés par HADOPI ne dépasse que rarement les 250 à 500 par mois, un ratio de 1 courrier pour 3000 adresses IP pistées, probablement prises aléatoirement chez HADOPI. De quoi se marrer copieusement. Pour la motivation, je pense oui, enfin l’ambiance était globalement très bonne et détendue dans l’entreprise. La probable pression gouvernementale n’arrivait pas jusque sur les employés, en tout cas pas à mon niveau, chacun se contentait de faire son job, tout simplement.

Y avait-il une neutralité dans le traitement des flashs d’IP. Je veux dire, ça chopait tout ce qui passait en mode free porn ou bien plus particulièrement des profils précis ?

Non, était-ce voulu ou était-ce fruit de lobbying, je ne peux y répondre. Mais étaient principalement surveillées les productions de l’audiovisuel français, afin de servir de bases à la réprimande. Disons que si tu avais le malheur de diffuser le dernier Dany Boon avant sa sortie, tu pouvais être sûr que ton adresse IP était dans le collimateur. Si par contre tu es un amateur de mangas, free porn, logiciels, productions étrangères, la probabilité réduit, jusqu’à devenir nulle si tu n’es pas du tout consommateur de productions françaises en format numérique. Se faire choper par HADOPI parce qu’on pirate sans vergogne les films de Franck Dubosc ou les albums de Johnny, à titre personnel je trouve ça mérité, ça fait un genre de taxe sur le mauvais goût quelque part non ? Néanmoins je sais que TMG s’occupe de surveiller également le réseau pour des grandes firmes (Disney, Universal…), mais je pense que cela n’entre pas en compte dans les envois du système HADOPI. M’est avis qu’ils vendent simplement le recueil de données statistiques afin que les ayants-droit aient un recul sur la volumétrie d’échanges de copies pirates.

« L’état de la sécurité informatique en France est proche du néant »



Que sais-tu sur le budget de la Hadopi ?

Il y a des petites rumeurs concernant la manière dont c’est dépensé… Dans les faits TMG prend 1 million € par an. Les autres millions alloués par le gouvernement… sont partis… dans le vortex… Soit disant en com’, locaux et frais de gestion. Mais on pense sincèrement qu’ils se graissent un peu la patte avec.

Cette histoire de potentielle reprise de l’autorité du net français par le CSA, quel est ton avis sur la question ?

J’ai arrêté purement et simplement d’écouter les élucubrations du gouvernement en matière de sécurité, étant à présent plus compétent dans ce domaine je peux dire que l’état de la sécurité informatique en France est proche du Néant. Il existe bien évidemment l’ANSSI qui donne des bases de normes de sécurité informatique pour les entités administratives, mais les coupes budgétaires permanentes du secteur public font que leur mise en place est presque impossible. C’est un gruyère béant de trous. Le fameux scandale des Américains espionnant la France n’en étant pas un (ndlr : la France partage ouvertement ses données issues de la surveillance de masse avec les USA), comment veux-tu empêcher quelqu’un de regarder dans ton jardin si à la place d’un mur opaque tu as du grillage à poules ? Donc bon, ils peuvent bien récupérer ce qu’ils veulent, tant que le budget ne sera pas débloqué pour une mise en place technique réelle de solutions de protection ou d’anti-intrusion, ça ne sera que de la palabre et on sera toujours une porte ouverte pour les hackeurs du monde entier qui squattent nos réseaux et infectent nos serveurs et machines.

Verrais-tu un jour la situation des libertés numériques en France s’améliorer entre une potentielle montée du Parti Pirate ou encore Qosmos qui arrêterai ses conneries ?

Il y a une prise de conscience collective depuis quelques années, j’aime bien voir ça sur les réseaux, mais je suis triste de voir le moindre kikoo se revendiquer Anonymous parce qu’il a téléchargé Abel Cain, ou parce qu’il sait monter un Kali Linux sur une machine virtuelle. Tout ceci pollue énormément la qualité de la communauté du hack. Je pense que les libertés numériques reposent principalement sur les groupes de hackeurs de talent ainsi que les meilleurs consultants en sécurité et non pas sur les gouvernements ou la manipulation de masse qu’est devenu le cirque « Anonymous ». Ce sont les seuls aptes à rééquilibrer la machine en mettant au jour les liaisons frauduleuses et conflits d’intérêts évidents qui font le quotidien de l’actualité numérique. Ces hacktivistes silencieux (ndlr : on parlera alors de white hats) sont les véritables garde-fous de la situation des libertés numériques en France. Mais ils sont mal considérés et jamais consultés par les gouvernements pour les questions de stratégie de sécurité. De plus le gouvernement a une véritable peur des réseaux, nous sommes aptes à échanger des informations, à relever les incohérences, à voir les manipulations médiatiques et politiques. Ce danger réel pour le contrôle des citoyens ne m’amène qu’à penser une chose : un jour où l’autre il faudra faire attention à ce que l’on dit, publie, partage, car l’anonymat n’est que relatif… En fait il faut déjà faire extrêmement attention. L’affaire « Charlie » nous l’a bien montré mais je préfère ne pas rentrer dans ce débat.

Si la surveillance globale continue d’empirer, quels conseils complémentaires à notre petit guide du ninja des internets aurais-tu à donner à la population pour ne pas prendre part au flicage collectif ?

Pour être à 100% furtif ? Tourner sous un OS open source, utiliser des outils open source permettant une navigation anonyme, passer par un VPN de manière systématique (dans un pays où il y a un vide juridique sur le web pour bien faire), n’utiliser que le direct download et éviter le P2P, n’avoir qu’un nombre réduit d’informations personnelles sur le net, et surtout ne pas les avoir toutes au même endroit. Et surtout ne pas toujours croire que ce qui est avancé par le gouvernement a une dimension factuelle réelle, on est dans une période de guerre de l’information avec une multiplicité de sources qui se clonent les unes les autres pour faire du clic. Le plus important est donc de garder la tête froide. Les annonceurs et publicitaires le savent, s’ils peuvent atteindre vos émotions, vous leur êtes extrêmement rentables !

Des trucs à ajouter ?

Je pourrais rajouter des millions de choses, l’internet est aussi vaste que le monde réel et aussi complexe. N’hésitez pas à me solliciter à nouveau si vous voulez un point de vue de ce qui se passe chez TMG ou dans le monde de la sécurité. Ha, et je n’ai jamais déjeuné avec Thierry Lhermitte !