Révélée par le site Reflets Infos, la nouvelle risque d’en surprendre plus d’un et d’en affoler quelques autres.

 « Vous autorisez France Télécom à utiliser les données relatives à votre trafic afin de pouvoir vous proposer les produits ou services de France Télécom pouvant répondre à vos besoins ».

Et l’on reparle ainsi des fameux DPI (Deep Packet Inspection), identification des paquets qui transitent par la Box. Tout le monde se souvient que cette technique était largement utilisée durant le « Printemps Arabe » pour surveiller le trafic internet des opposants aux régimes dictatoriaux.

Bien que Orange se défende de toute intrusion sur les lignes ADSL de ses abonnés, il n’en demeure pas moins qu’une telle procédure porte atteinte à la vie privée des internautes, dans la mesure où cela ressemble ni plus ni moins à de l’espionnage. Même si l’utilisateur donne son accord via un email vaguement explicatif, auquel la plupart ne prêteront pas forcément attention – qui peut se vanter d’avoir lu les CG d’Orange ? – l’identification des données devient une réalité. Autant dire que votre Box possède son propre « mouchard ». « Big Brother is watching you » : ce n’est pas seulement un slogan, cela prend tout son sens dans cette affaire.

Car des questions restent sans réponses. Qui peut dire comment et par qui les données récoltées pourront être interprétées ? Et dans quel but, surtout ? On peut très bien imaginer la Haute Autorité (HADOPI) réclamant, par le biais d’une décision de justice, toutes ses informations au FAI. Leur collaboration forcée les oblige déjà à fournir tous les renseignements correspondant aux adresses IP relevées par TMG ou les ayants droit.

Lundi dernier, un communiqué signé par Marc Guez (le directeur général de la SCPP), affirmait pourtant qu’aucune donnée personnelle n’avait été divulguée dans ces documents :

Cher tous,

Suite à l’information publiée dans la presse sur le piratage d’un serveur de TMG, TMG nous a informés que le serveur effectivement piraté était un serveur de tests de TMG (sans lien avec les traitements HADOPI), qui n’était pas protégé car ne contenant pas d’infos confidentielles.

Les serveurs TMG utilisés pour la HADOPI n’ont pas été piratés et aucune donnée confidentielle n’a donc fuité à l’extérieur de TMG ou de la HADOPI.

TMG doit faire un communiqué de presse à cet effet.

Une source se revendiquant d’Anonymous France a néanmoins rendu public sur pastbin une liste des hashs trouvés sur ces serveurs non sécurisés. Ces hashs incluent de nombreux fichiers protégés par le droit d’auteur, mais ne sont probablement pas liés à l’activité Hadopi de TMG. Il s’agit en effet principalement de films américains en VO et d’albums de musique, qui intéressent peu les ayants droit français. Mais des IP françaises feraient bien partie de ces fichiers.

La fuite de données sur un serveur soi-disant « de test » soulève un certain nombre d’interrogations auxquelles la CNIL et la Haute Autorité devront répondre. D’ailleurs, la réaction de cette dernière ne s’est pas fait attendre : c’est via le compte Twitter de son secrétaire général, Eric Walter, que nous apprenons que la connexion avec TMG était suspendue, considérant qu’il existe des risques de compromission des systèmes d’information.

 

Face à cet incident, d’autres mesures ont d’ores et déjà été annoncées :
•  Un contrôle sur place (Nantes) de la CNIL sur le traitement des données personnelles.
•  Un « contrôle de sécurité global » mené par les ayants droit.
•  La nomination toute prochaine d’un expert judiciaire chargé d’examiner la méthode de collecte.

La CNIL avait déjà dénoncé par le passé « l’absence d’audit externe du système TMG » et  regrettait que  les seules procédures d’audit prévues sur le système de TMG soient des audits internes trimestriels par les SPRD. Mais ce système semble parfaitement convenir à la Haute autorité, qui avoue sans complexe, dans les colonnes du Figaro, que les collectes d’IP privées se font sans aucune vérification : « nous ignorons ce qu’il se passe réellement dans les serveurs de TMG »…

[There is a video that cannot be displayed in this feed. Visit the blog entry to see the video.]

En effet, vêtus de T-shirts sur lesquels on pouvait lire « La piraterie est illégale », les activistes de l’ACAPOR ont déposé, devant le bureau du procureur général du Portugal, plusieurs cartons contenant les relevés des adresses IP des internautes téléchargeant illégalement.
Or, d’après le PP de ce pays, ils auraient agi de manière tout à fait illégale afin de se procurer ces informations.

« Nous ferons tout ce que nous pouvons pour alerter le gouvernement sur la situation désastreuse dans laquelle se situe l’industrie du divertissement, et nous pensons qu’en déposant 1000 plaintes par mois, nous allons embarrasser le système judiciaire ».

Car là sont les principaux objectifs de l’ACAPOR : non seulement faire prendre conscience du phénomène du téléchargement illégal et les conséquences sur l’industrie du cinéma, mais aussi saturer la machine judiciaire afin de faire réagir les autorités.

Le Parti Pirate portugais a vivement critiqué cette action en soulignant que l’ACAPOR ne disposait pas d’autorisations pour collecter les adresses IP de près de 1000 citoyens lambda, et a décidé de porter plainte. En espérant que la Justice portugaise les suive et reconnaissance l’incompétence de l’ACAPOR dans cette affaire.

Même si le groupe anti-piraterie a formellement nié les accusations du PP, il n’en demeure pas moins que tous les regards sont maintenant tournés vers la justice portugaise qui doit trancher dans cette affaire, sans oublier les pirates qui ont les projecteurs braqués sur eux.

Rappelons que l’ACAPOR n’en est pas à son coup d’essai. L’année dernière, ils avaient demandé auprès du Ministère de l’Education portugais que le site The Pirate Bay soit bloqué et censuré au Portugal par le biais de filtres internet, prétextant que le site était responsable du piratage de 15 millions de téléchargements illicites, sans que la preuve en soit clairement établie.