La plus grosse faille de sécurité de l’Hadopi, c’est la CNIL
ElectronLibre s’est procuré le document complet rédigé par la CNIL après son audit de la société TMG. Celui-ci explique en détail le dispositif mis en place par la société nantaise pour repérer les internautes qui téléchargent illégalement.
En quelques semaines, le scénario catastrophe tant redouté vient de se réaliser... La CNIL a fuité ! Liberté chérie, tu es hackée ! Le mécanisme de la riposte graduée est à découvert par la faute même de ceux qui ont pour mission de l’auditer. Singulier retournement de situation, dont nous sommes les témoins privilégiés à ElectronLibre.
Reprenons brièvement le fil des événements qui ont conduit à cette fin déplorable. Lorsque les ayants droit annoncent le choix de la société nantaise TMG pour mettre en place le dispositif de "surveillance" des téléchargement illicites, nombreux sont ceux qui demandent un audit. Les moyens informatiques utilisés par TMG pour cette mission sont plus que sensibles pour tout ce qui touche au caractère privé des données traitées. La loi Hadopi est d’ailleurs tournée de telle sorte que les ayants droit n’ont pas accès, à ce stade de la riposte graduée, à l’identité des contrevenants présumés.
Le dossier est chaud, et il devient brûlant après la découverte faite par un blogueur le 13 mai dernier, comme l’a relaté le site Reflets.info : un serveur de TMG est laissé sans défense sur la toile, mettant en péril tout l’édifice. Très vite, les ayants droit répondent que "non", de concert avec TMG, pour qui ce serveur ne sert que pour des tests. Trop tard, le mal est fait, et la CNIL s’empare du scandale pour aller enfin auditer TMG - enfin, car c’était justement une demande de l’Hadopi depuis octobre 2010.
Couacs
De ces visites la CNIL a tiré un document de synthèse de quatorze pages, que nous nous sommes procurés... Celui-ci décrit dans le détail le dispositif "secret" de TMG dans le cadre de la riposte graduée. C’est certainement là la plus grosse fuite depuis que cette loi a été votée, mais elle vient de la CNIL. Voilà qui pourrait donner lieu à bien des questions sur la façon dont cet organisme instauré il y a plus de trente ans fonctionne réellement, et quel est son rôle dans une société démocratique et responsable, confrontée au défi du Net... Le dossier pourrait d’ailleurs être bientôt ouvert en haut lieu, si les couacs devaient s’enchaîner.
Bref, et ce fameux document, que contient-il ? En voici donc quelques extraits, qui démontrent, tout d’abord la tartufferie de la CNIL, mais aussi les insuffisances réelles de TMG. Ainsi, la CNIL annonce d’emblée que "les constatations effectuées par la délégation de contrôle de la CNIL (..) font apparaître que la faille de sécurité révélée par le blog précité (Reflets, ndr) n’a pas affecté les traitements de données à caractère personne mis en oeuvre dans le cadre du dispositif dit "de réponse graduée" dans lequel la société TMG intervient en tant que sous-traitant". En langage plus prosaïque, tout cela se résume en un : "Circulez y a rien à voir, mais écoutez-moi tout de même !". Alors on écoute : "La faille de sécurité a affecté un serveur contenant des données à caractère personnel mis en oeuvre par et pour le compte de la société TMG, dans le cadre de ses propres activités"... On est toujours très loin d’une faille propre à TMG, mais la CNIL donnera plus tard dans le document l’origine de ces "données à caractère personnel", autrement dit des IP répertoriées sur le serveur "haché", et dont la mise à nu a soulevé des questions légitimes sur Numerama, notamment.
Contrôle à distance
Puisqu’il n’y a rien de vraiment tangible selon la CNIL, celle-ci va donc orienter ses recherches vers les relations qui lient TMG et les ayants droit, représentés par la SCPP, et surtout le dispositif de sécurisation mis en oeuvre par TMG. Sur le premier point, le document nous apprend que le contrat qui lie TMG et la SCPP prévoit des "contrôles" sous forme d’audit, qu’ils peuvent être effectués tous les trimestres sans limite de nombre. Seulement voilà "lors du contrôle, la délégation a été informée qu’aucun audit n’a été diligenté par la SCPP". Ce qui peut apparaître comme normal, puisque le dispositif ne fonctionne que depuis peu de temps, six mois environ, et qu’il n’a pas encore vraiment atteint sa vitesse de croisière. Autre raison avancée, La CNIL garde en fait un oeil indirectement sur TMG, via le cabinet Alain Bensoussan : "En qualité de CNIL, celui-ci met à jour la liste des traitements effectués par TMG".
Ceci dit, la CNIL décrit par la suite ce fameux dispositif de sécurisation mis en place par TMG. Les données recueillies par la CNIL semblent suffisamment sensibles pour ne pas être divulguées dans ces lignes. Cependant, il est à noter que l’affaire des IP rendues publiques semble trouver son origine dans un dispositif de contrôle à distance d’un serveur. Voici ce qu’en dit la CNIL : "Par ailleurs la mission de vérification a permis de constater la présence, sur une machine, d’un serveur web de type ***, contenant des fichiers relatifs à une application utilisée par TMG. Ce serveur était accessible, outre depuis le réseau TMG, depuis des adresses IP utilisées par la société *** pour ses accès internet mobiles. La délégation a été informée que cet accès avait été ouvert afin de permettre à des employés de TMG d’accéder depuis l’extérieur au serveur depuis un téléphone portable de type ***. La délégation a constaté que les accès à cette machine depuis les adresses IP *** ont, depuis, été bloqués". Est-ce la résolution du mystère des IP du serveur de test ? Possible... Nous avons volontairement éliminé les mentions à des marques.
"Situation à haut risque"
Quelques autres points intéressants : la sécurité de la base de données "Riposte graduée" repose sur un simple mot de passe, détenu par un seul compte chez TMG. Détail amusant, le cryptage n’est pas des plus poussés, note la CNIL. C’est certainement là que TMG devra se renforcer à l’avenir, comme l’a suggéré la CNIL, justement. Le schéma décrit n’est en effet pas à la hauteur des responsabilités qui incombent à TMG. Très clairement, la société nantaise n’a pas pris la mesure des risques auxquels elle s’expose, en tant que bras armé de l’Hadopi. D’ailleurs, note la CNIL "TMG ne possède pas de certification particulière en matière de sécurité des systèmes informatiques." Un manque qui devrait être comblé dans les semaines qui viennent, à coup sûr. "Une analyse de la situation de TMG, en tant que sous-traitant de la SCPP dans le cadre du dispositif dit de réponse graduée, permet d’identifier une situation à haut risque", surenchérit la CNIL.
En conclusion, la CNIL est formelle. Le serveur exposé n’avait rien à voir avec l’Hadopi, mais les protocoles de sécurité de TMG dans le cadre de sa mission de prestataire sont nettement "insuffisants". Aux ayants droit maintenant de faire le nécessaire pour que TMG prenne toute cette histoire au sérieux, car ce sont eux les responsables de cette situation, par ricochet, souligne la CNIL ; "ces éléments sont de nature à démontrer que la SCPP, en tant que responsable (...) n’a pas rempli les obligations posées par la loi en termes de sécurité et de confidentialité des données traitées". C’est bien le sens de la mise en demeure adressée à la SCPP, et son directeur général, Marc Guez.