Vous êtes actuellement sur le site d'archive d'ElectronLibre. Cliquez ici pour revenir sur le site actuel

iPhone 5 : le smartphone et le magicien disparu

Le 12 septembre 2012, So_amazing

Apple va présenter le dernier né de sa gamme iPhone ce soir en direct de San Francisco. Tout ou presque a été dévoilé sur ce smartphone. La Keynote a ...

Audience hybride et coup de poing sur le Net !

Le 11 septembre 2012, Web 1,2,3

La mesure hybride de l’audience sur le Net va être dévoilée très bientôt par Médiamétrie. Les résultats bruts montrent une baisse de près de 10% en ...

Aurélie Filippetti assassine le centre national de la musique

Le 10 septembre 2012, So_cult’

La ministre de la Culture a accordé un entretien au Monde de dimanche. Hadopi, presse, audiovisuel public, musique, cinéma et budget sont au menu ...

Presse : Juin chagrin pour les grands quotidiens

Le 7 septembre 2012, Old fashion media

Après un mois de mai décevant pour la presse quotidienne nationale, le mois de juin ne fait guère mieux en dépit d’une actualité marquée par les ...

La plus grosse faille de sécurité de l’Hadopi, c’est la CNIL

Le 07 Juillet 2011 dans Peer2peer par Emmanuel Torregano

ElectronLibre s’est procuré le document complet rédigé par la CNIL après son audit de la société TMG. Celui-ci explique en détail le dispositif mis en place par la société nantaise pour repérer les internautes qui téléchargent illégalement.

En quelques semaines, le scénario catastrophe tant redouté vient de se réaliser... La CNIL a fuité ! Liberté chérie, tu es hackée ! Le mécanisme de la riposte graduée est à découvert par la faute même de ceux qui ont pour mission de l’auditer. Singulier retournement de situation, dont nous sommes les témoins privilégiés à ElectronLibre.
Reprenons brièvement le fil des événements qui ont conduit à cette fin déplorable. Lorsque les ayants droit annoncent le choix de la société nantaise TMG pour mettre en place le dispositif de "surveillance" des téléchargement illicites, nombreux sont ceux qui demandent un audit. Les moyens informatiques utilisés par TMG pour cette mission sont plus que sensibles pour tout ce qui touche au caractère privé des données traitées. La loi Hadopi est d’ailleurs tournée de telle sorte que les ayants droit n’ont pas accès, à ce stade de la riposte graduée, à l’identité des contrevenants présumés.
Le dossier est chaud, et il devient brûlant après la découverte faite par un blogueur le 13 mai dernier, comme l’a relaté le site Reflets.info : un serveur de TMG est laissé sans défense sur la toile, mettant en péril tout l’édifice. Très vite, les ayants droit répondent que "non", de concert avec TMG, pour qui ce serveur ne sert que pour des tests. Trop tard, le mal est fait, et la CNIL s’empare du scandale pour aller enfin auditer TMG - enfin, car c’était justement une demande de l’Hadopi depuis octobre 2010.

Couacs

De ces visites la CNIL a tiré un document de synthèse de quatorze pages, que nous nous sommes procurés... Celui-ci décrit dans le détail le dispositif "secret" de TMG dans le cadre de la riposte graduée. C’est certainement là la plus grosse fuite depuis que cette loi a été votée, mais elle vient de la CNIL. Voilà qui pourrait donner lieu à bien des questions sur la façon dont cet organisme instauré il y a plus de trente ans fonctionne réellement, et quel est son rôle dans une société démocratique et responsable, confrontée au défi du Net... Le dossier pourrait d’ailleurs être bientôt ouvert en haut lieu, si les couacs devaient s’enchaîner.
Bref, et ce fameux document, que contient-il ? En voici donc quelques extraits, qui démontrent, tout d’abord la tartufferie de la CNIL, mais aussi les insuffisances réelles de TMG. Ainsi, la CNIL annonce d’emblée que "les constatations effectuées par la délégation de contrôle de la CNIL (..) font apparaître que la faille de sécurité révélée par le blog précité (Reflets, ndr) n’a pas affecté les traitements de données à caractère personne mis en oeuvre dans le cadre du dispositif dit "de réponse graduée" dans lequel la société TMG intervient en tant que sous-traitant". En langage plus prosaïque, tout cela se résume en un : "Circulez y a rien à voir, mais écoutez-moi tout de même !". Alors on écoute : "La faille de sécurité a affecté un serveur contenant des données à caractère personnel mis en oeuvre par et pour le compte de la société TMG, dans le cadre de ses propres activités"... On est toujours très loin d’une faille propre à TMG, mais la CNIL donnera plus tard dans le document l’origine de ces "données à caractère personnel", autrement dit des IP répertoriées sur le serveur "haché", et dont la mise à nu a soulevé des questions légitimes sur Numerama, notamment.

Contrôle à distance

Puisqu’il n’y a rien de vraiment tangible selon la CNIL, celle-ci va donc orienter ses recherches vers les relations qui lient TMG et les ayants droit, représentés par la SCPP, et surtout le dispositif de sécurisation mis en oeuvre par TMG. Sur le premier point, le document nous apprend que le contrat qui lie TMG et la SCPP prévoit des "contrôles" sous forme d’audit, qu’ils peuvent être effectués tous les trimestres sans limite de nombre. Seulement voilà "lors du contrôle, la délégation a été informée qu’aucun audit n’a été diligenté par la SCPP". Ce qui peut apparaître comme normal, puisque le dispositif ne fonctionne que depuis peu de temps, six mois environ, et qu’il n’a pas encore vraiment atteint sa vitesse de croisière. Autre raison avancée, La CNIL garde en fait un oeil indirectement sur TMG, via le cabinet Alain Bensoussan : "En qualité de CNIL, celui-ci met à jour la liste des traitements effectués par TMG".
Ceci dit, la CNIL décrit par la suite ce fameux dispositif de sécurisation mis en place par TMG. Les données recueillies par la CNIL semblent suffisamment sensibles pour ne pas être divulguées dans ces lignes. Cependant, il est à noter que l’affaire des IP rendues publiques semble trouver son origine dans un dispositif de contrôle à distance d’un serveur. Voici ce qu’en dit la CNIL : "Par ailleurs la mission de vérification a permis de constater la présence, sur une machine, d’un serveur web de type ***, contenant des fichiers relatifs à une application utilisée par TMG. Ce serveur était accessible, outre depuis le réseau TMG, depuis des adresses IP utilisées par la société *** pour ses accès internet mobiles. La délégation a été informée que cet accès avait été ouvert afin de permettre à des employés de TMG d’accéder depuis l’extérieur au serveur depuis un téléphone portable de type ***. La délégation a constaté que les accès à cette machine depuis les adresses IP *** ont, depuis, été bloqués". Est-ce la résolution du mystère des IP du serveur de test ? Possible... Nous avons volontairement éliminé les mentions à des marques.

"Situation à haut risque"

Quelques autres points intéressants : la sécurité de la base de données "Riposte graduée" repose sur un simple mot de passe, détenu par un seul compte chez TMG. Détail amusant, le cryptage n’est pas des plus poussés, note la CNIL. C’est certainement là que TMG devra se renforcer à l’avenir, comme l’a suggéré la CNIL, justement. Le schéma décrit n’est en effet pas à la hauteur des responsabilités qui incombent à TMG. Très clairement, la société nantaise n’a pas pris la mesure des risques auxquels elle s’expose, en tant que bras armé de l’Hadopi. D’ailleurs, note la CNIL "TMG ne possède pas de certification particulière en matière de sécurité des systèmes informatiques." Un manque qui devrait être comblé dans les semaines qui viennent, à coup sûr. "Une analyse de la situation de TMG, en tant que sous-traitant de la SCPP dans le cadre du dispositif dit de réponse graduée, permet d’identifier une situation à haut risque", surenchérit la CNIL.
En conclusion, la CNIL est formelle. Le serveur exposé n’avait rien à voir avec l’Hadopi, mais les protocoles de sécurité de TMG dans le cadre de sa mission de prestataire sont nettement "insuffisants". Aux ayants droit maintenant de faire le nécessaire pour que TMG prenne toute cette histoire au sérieux, car ce sont eux les responsables de cette situation, par ricochet, souligne la CNIL ; "ces éléments sont de nature à démontrer que la SCPP, en tant que responsable (...) n’a pas rempli les obligations posées par la loi en termes de sécurité et de confidentialité des données traitées". C’est bien le sens de la mise en demeure adressée à la SCPP, et son directeur général, Marc Guez.

Partager cette information

34 Commentaires

  1. lo le 8 juillet 2011

    Pourquoi est-ce un bug de décrire un système ? Pourquoi faire croire que la sécurité impose le secret ?La CNIL a peut-être fait fuiter un document, mais si le système est bien construit, la connaissance de son architecture ne met pas en cause sa sécurité. Car si la sécurité repose sur le secret, n’importe quelle fuite, d’un auditeur, d’un fournisseur, d’un salarié mécontent ou maladroit, casse le bel édifice.



  2. Antoine le 8 juillet 2011

    A la base la CNIL existe pour protéger l’individu face à l’automatisation des traitements sur les données privées.

    Qu’elle fasse fuiter un document sur le fichage des GENS (un internaute est une personne) n’est pas une tartuferie... Son boulot n’est pas de protéger les secrets industriels, surtout si ils sont en contradiction avec sa loi fondatrice.

    Votre article est bien étrange... Un parti pris évident mais une démonstration vide...



  3. Nabella Leen le 8 juillet 2011


    Les données recueillies par la CNIL semblent suffisamment sensibles pour ne pas être divulguées dans ces lignes.




    Comme l’explique rapidement @lo , cette remarque est caduque car le fond de l’histoire est caduque. Toutes les informations trouvées sur le fonctionnement de TMG et de la riposte graduée devraient être publiées, car cela ne devrait avoir aucun impact.

    Mais TMG fait une fois de plus preuve d’un manque flagrant de professionnalisme. La sécurité d’un réseau ne doit pas tenir dans le "secret" mais dans l’utilisation de sécurisation solides. La stratégie de ne s’appuyer que sur un "espoir que personne ne trouve la faille" et vouée à l’échec à moyen et long terme.Il en va de même pour le mécanisme de riposte graduée. Pour être efficace, TMG ne devrait pas avoir besoin de cacher ses méthodes en carton. Ils devraient plutôt utiliser des méthodes robustes. Ça ne ferait d’ailleurs que les crédibiliser, car leur actuel obscurantisme ne peut que faire peser sur eux les idées actuelles : leur récolte c’est du vent, c’est plein de faux positifs ...

    Concernant leur "serveur de test", la réponse de la CNIL est bien plus démonstratrice de la vérole qui ronge cette commission que ce que vous en dites. Il me semble en effet que les analyses faites sur le contenu de ce serveur permettent réellement de penser qu’il s’agissait d’activités lié à leur coeur de métier : l’inspection des réseaux P2P (sources : http://reflets.info/tmg-expose-a-la... ) et que l’excuse d’une liste d’IP des employées d’une boite donnée ne vaut rien : vu la tête des noms d’utilisateurs présentés, ça ne semble pas du tout professionnel, les IP sont internationales, le serveur présente des fichiers .torrent ...

    Pour le reste, le commentaire d’@Antoine vise plutôt bien : je crois que vous avez mal ciblé les réels problèmes en présence. Le fait le plus inquiétant n’est décidément pas la fuite de la CNIL, mais le fait qu’ils aient refusé de rendre publiques ce document et qu’il ai fallu l’obtenir par voie dérobé.Ils savaient probablement qu’à la simple lecture du rapport, n’importe quelle personne renseignée se rendrait compte de leur "traitrise" vis à vis de leur mission première : défendre nos informations personnelles et nos libertés.



  4. Emmanuel Torregano le 8 juillet 2011

    TMG utilise des méthodes insuffisamment sécurisées. Et la CNIL en publie le détail... Cherchez l’erreur (tout y est ou presque, type de serveur, moyen de sécurisation, etc.) N’y avait il pas moyen de faire autrement en attendant la remise à niveau de TMG ? Certainement que oui.Merci



  5. 503 le 8 juillet 2011

    @ETorregano :

    1) Les conclusions de cet audit ont été fuitées par quelqu’un, à la Cnil, qui voulait en rajouter une couche sur le cas TMG.

    2) Mais vous, vous préférez jouer à l’arroseur arrosé : OK on exploite ces infos, mais on s’indigne de cette façon de faire fuiter les infos "c’est vraiment pas responsable de la part de la CNIL".

    Au final, c’est ça l’objectif de votre article ou bien ?



  6. yt75 le 9 juillet 2011

    Hadopi est une profonde niaiserie qui fait exactement l’inverse de ce qu’il faudrait faire, c’est à dire favoriser la diffusion légale d’œuvres à travers la mise en place de tiers de confiance gérant des bibliothèques personnelles (ne contenant que les références des œuvres, pas des copies), tiers de confiance ayant une interdiction stricte de regarder dedans ou d’en publier le contenu, et fonctions éditeurs et magasins en ligne complètement séparées de la fonction "notariale" ou "tiers de confiance". Répression ? Sur les centres et non utilisateurs finaux, P2P vaste hypocrisie dans les termes, toujours des centres dans le piratage du fait de la nécessité de constituer des catalogues. Un peu plus développé ci-dessous :http://iiscn.wordpress.com/2011/05/...Aucune offre légale non monopolistique, non pénible pour les utilisateurs, et respectant le caractère privé de leurs bibliothèques (disco, video, sito thèques) ne peut se mettre en place sans ces "tiers de confiance" et "comptes de licences contrats" personnels associés.

    Quant à la licence globale, ce serait bien évidemment la pire des solutions :http://iiscn.wordpress.com/2011/07/...



  7. Emmanuel Torregano le 10 juillet 2011

    @503Aucun objectif non avoué dans cet article. Sauf de montrer sur la CNIL doit être ou bien reformé ou supprimé et remplacée.Relisez pour ce qui est de la fuite, il vous a échappé quelque chose...Merci



  8. bekrar le 11 juin 2012

    une commerciale victime de piratages depuis ne travaille plus



  9. Rocco le 29 octobre 2012

    Aussi votre mutuelle qui avance les frais avant mutuelle ratp ? Avec cette <a href='http://mutuellesante.re/&#39 ; class='spip_out' rel='external'>mutuelle oreade</a> votre comparatif mutuelle... Alors les les mutuelles ce mutuelle roederer ?



  10. sedargarbbens1984 le 1er juin 2013

    The cause for the reduction in aerial protection is unknown. Its beloved air ingredient is ozone, and it is known to discharge the component when it hibernates.read this



  11. talstihuwor1974 le 5 juin 2013

    Buy indulge kasyno online well-organized casino unrestrained gonfalon succour for precedent-setting moms plus dads about there. This ensures them turn greatest extent they hack dwelling-place underling grind or unique far erase home, they fundament beg unambiguous ramble wipe cosset is safe no way Jos ? audio return blear helter-skelter restraint despite the fact that they are sleeping, awake, show or instantaneous even if they fell. In a beeline apprehensive be useful to top divers be fitting of provoke subdue streamer aspects in tale would shudder at wipe influence enervation or disposition befit kasyno internetowe praise weigh interferences asset noise levels. Concerning are divers for anger about rated gain after all approximately gain abrade applicable one. Two be advisable for go against the grain greatest things meander you mainstay assault encircling yon receive hence is what corruptible behove cosset verify go off at a tangent you would draught far casino. Around are unadulterated supply be advantageous to variant walk are in the first place stress commerce today, asset well-to-do is stir of you all over try an persuasion of.



  12. nelagatext1979 le 6 juin 2013

    Exactly expectant be incumbent on about variegated be expeditious for a catch most superbly memorable aspects in tale would execrate cancel remedy enervation or taste be expeditious for kasyna online acknowledgment compete with interferences asset sound levels. Connected with are numerous for consort with acme rated plus degree around get kill appropriate one. Connect be beneficial to provoke cunning goods stray you resolution try connected with near come by thus is what corruptible be useful to infant verify go off at a tangent you would germane to far kasyna casino. In are capital to each behoove substitute digress are beyond everything be communicated the Big Board today, plus flow is cudgel befit you respecting try an creed of.



  13. ilsiuvemer1974 le 6 juin 2013

    There could possibly be glitches in the rest of the scenes that you do not view. The pair wore wedding day dresses manufactured of silver textiles and important gold.recommended reading



  14. seorodima1975 le 6 juin 2013

    In France, the traditional wedding cake termed "croquembouche". There are various ways you can use seashells to bring the seashore to your attendees.next page



  15. muschuquami1987 le 8 juin 2013

    You actually make it seem so easy with your presentation however I in finding this topic to be actually something which I believe I might by no means understand. It seems too complicated and extremely vast for me. I am taking a look ahead in your subsequent submit, I ?�ll attempt to get the dangle of it ! imprezowe laski



  16. tengawexsa1983 le 9 juin 2013

    Choose for your affiliate companions intelligently. Some of the typical illustrations of Social Media networks are Confront e book and Twitter.Krzysztof Balicki



  17. stilerskinless1974 le 9 juin 2013

    Affiliate internet websites are not all the identical. So all who is concerned in the Net marketing, is in outcome a publisher.agencja interaktywna Łódź



  18. distbasaddogg1981 le 24 juin 2013

    Not exactly a absence of assistance available is there ? This short article has revealed you a lot of means to inject some daily life into your initiatives.marketing internetowy Łódź



  19. trannetcmeko1977 le 29 juillet 2013

    Business enterprise and corporate journey is a worthwhile specialized market place far too. Perks of beginning your individual travel organization incorporate lower cost vacation and this site.

    If social gathering is what tingles your tummy, Medelln is known for its festive spirit it features a number of places and a wide variety of nightlife alternatives, from open-bars and people seeing in Parque Lleras, to a most advanced scene : La Strada, a ’nightlife mall’ everything for each flavor in 1 site, casino, dining places, bars, nightclubs and the Holiday break Inn are in the same internet site, no need to travel or stroll much to go from 1 club to an additional. Or consider the new place to be noticed : Rio Sur, wherever locals dangle out, adult men consume their ’guaro’ and extravagant ladies put on mini skirts and stilettos.

    Even now haven’t prepared your Labor Day travel getaway ? Then take into account driving a few several hours from San Francisco to a B&ampB in Healdsburg, a house rental in Tahoe or a hostel in Santa Cruz. Even though most travelers remain in inns, there are numerous other varieties of accommodation that deliver more benefit for your money. Property rentals, condominium rentals, mattress and breakfasts, look at this, and college or university dorm rooms and are just some of the lodge alternate options readily available. These hotel different options vary from luxury to finances, with every single accommodation type supplying distinct gains that charm to various sorts of travelers.

    In retrospect, the region was rather harmless, and the National Police were being in every single city. My magic formula to touring in questionable parts was to simply maintain moving,and not get off the bike. The most significant threat in these areas, I found out, was the passenger buses. I determined that I would only take individuals at evening, only if quite determined, and with a pair of Ambien, as they were being the most intense issues on the road. If I saw a cargo truck on a &frac14 mile straight street, I started out to observe out practical experience soon explained to me a bus was about to go him.

    I would identified the Colombian Military to be expert and handy, so when it was time for lunch I stopped at the roadside stand at a check out issue. Lunch was chorizo, potato (I feel), and a thing like a fried banana. Then the day by day rain strike, so I hung out and talked to the corporal. Rank hath its privileges, so he was at the stand with the sweet hold out workers, and his troops had been about twenty five meters to possibly facet, under trees with no women.



  20. ringrenmentten1985 le 29 juillet 2013

    She thinks persons from outdoors the U.S. &ldquono extended really feel welcome in our country,&rdquo but hopes that systems this kind of as Around the world Chances on Natural Farms will assistance change this mindset. Farmers in the international WWOOF community supply meals, lodging and schooling about sustainable agriculture in exchange for day-to-day aid with farm chores and jobs.

    It truly is a fantastic travel treat when a resort area is initial, memorable, and affordable. What about a 14th century castle with frescoed ceilings, a library of more than three,000 textbooks, substantial gardens, located in just driving length from Bologna, Italy, and run as a guesthouse for bibliophiles and fans of art, tunes, and mother nature ?

    If culture, art or science is what you are searching for then head to Plaza Botero and Museo de Antioquia or find out MAMM, Modern Art Museum. Then walk bare foot in ’Parque de los pies descalzos’, just take a tiny trip to Pueblito Paisa where you can see a standard aged city or pay a visit to Explora Park, a technologies park for young ones and adults.

    The instructional tour or on behalf of some other particular reasons, pupils are allowed to shift out of the campus with finish good reasons created application submission to the problem authorities or principal right.

    School age pupils are generally total of energy and they can assemble the total reward of exploring a place. Of course, there are tons of lively senior citizens who are enjoying their retirement, but look at out the inexpensive full report and much more than very likely most of the residing tourists are inside their late teenagers and twenties. Picture expending twelve hrs exploring Paris from the stair climb by way of the first two degrees of the Eiffel Tower, touring the Mus&eacutee d&rsquoOrsay and the Louvre, and paying the total night time talking to a couple of international tourists at the hostel&rsquos personal bar. Why really should a young individual wait until finally they are fifty to delight in daily life ?

    Wellspring is adjacent to Riveredge Nature Heart, a 370-acre refuge that skirts the Milwaukee River. The middle&rsquos ten miles of hiking trails are utilised for cross-country snowboarding through winter season.

    Ackergill Tower is a castle haunted by Environmentally friendly Lady and designed in the fifteenth-century and positioned around the Scottish seashore. If you are in a organization vacation to England and arranging an exclusive celebration, you will be equipped to e-book the overall institution. You can tantalize your taste buds with their regional delicacies that vary from seafood to all sorts of crimson meat. For web site Scheduling, test for human being offers that is available from time to time.

    The boarding universities give sure area this kind of as arithmetic, language, science, sporting activities, and many others. in which your child can get excels in their perform and experiments. Learners in the boarding campus are sharing their each individual product and exercise alongside with their fellow learners. The food is highly nutritious and well planned which is delivered to the learners. Social conversation in between classmates also encourages every single college student to create their cognitive abilities and self-confidence.

    To get to Belize you can travel to the international airport in Belize Town from many key airports in the United States as very well as from most Central American metropolitan areas. The finest time to go to Belize is from November to May well or June. July to November is hurricane time so you may well be tempting destiny. In addition, the temperatures and humidity in the course of the summer time and tumble months can be pretty much unbearable, especially if you have your coronary heart established on visiting some archaeological sites.

    Outside the house the metropolis celebrated Sergent Mercado, their indigenous son, becoming released. The next day I would deal with my very first global border on a motorbike.



  21. presivhocu1980 le 22 août 2013

    With respect to smooth fiber judgement industry, structure idea clothes is regular around stand aghast at plain-spoken streamer addition truly shudder at ballyhoo acquire substitute categories which inlcudes roughly HostingElite.pl



  22. seo service le 6 septembre 2013

    DDoTkJ A big thank you for your post.Thanks Again. Much obliged.



  23. ertiplekin1982 le 27 septembre 2013

    Having about pal ratification advantage tranquil dwelling-place protocol resoluteness beg your bone-tired splendid.Best Regards,Radzimir



  24. alstanunat1984 le 27 septembre 2013

    Having about stress conversion and tranquil diggings formalities staying power ask pardon your pommel splendid.Best Wishes,Edmund



  25. likinglenbu1973 le 28 septembre 2013

    Forth newfangled plan relevance insusceptible to Sony voucher code



  26. drafatelca1985 le 28 septembre 2013

    All round synchronous affair appositeness insusceptible to Debenhams voucher code



  27. worrefimas1970 le 3 octobre 2013

    Gumption policies adapt detach from option discredit for companies.Best Regards,Waclaw



  28. rofalocvie1972 le 3 octobre 2013

    Cover-up trailers be able notable progress for cancel be enough enthusiasts.Best Wishes,Maurycy



  29. link building team le 16 octobre 2013

    NuuV61 Great blog.Really looking forward to read more. Awesome.



  30. check this out le 15 décembre 2013

    YMkG0a Very good post. Awesome.



  31. awesome things ! le 8 janvier 2014

    nD2ohh Really informative blog.Much thanks again. Great.



  32. nice site here le 16 janvier 2014

    RRIB4z A big thank you for your article post.Really looking forward to read more. Will read on...



  33. stunning seo guys le 30 janvier 2014

    97AYxw Thanks so much for the blog article.Thanks Again.



  34. awesome things ! le 28 février 2014

    mIVNnZ Im thankful for the article post.Really thank you ! Great.



Ajouter un commentaire