TMG avait indiqué porter plainte pour cause de vol de données, sur un serveur… non protégé. A l’origine, une faille de sécurité mise au jour par un blogueur. Finalement, il semblerait que l’affaire TMG vs Bluetouff n’aura pas lieu.
C’est une affaire dont Trident Media Guard (TMG) se serait bien passé. En plus d’avoir été négligent sur la sécurité des données personnelles, le prestataire technique spécialisé dans les technologies d’analyse des flux sur les réseaux peer-to-peer, chargé de transmettre les adresses IP utilisées par l’Hadopi pour identifier les internautes qui téléchargent des oeuvres protégées par le droit d’auteur, se retrouve aujourd’hui au centre d’un débat sur le hacking.
TMG s’est d’abord fait épingler par le blogueur Olivier Laurelli (Bluetouff) qui a découvert une faille de sécurité sur un de ses serveurs. En conséquence de quoi, l’Hadopi et la Cnil ont diligenté illico presto un contrôle, et Hadopi a suspendu sa connexion informatique avec TMG. Las, l’affaire ne s’arrête pas là puisque TMG a déclaré à Ouest-France avoir porté plainte, se déclarant “victime d’un vol de données”. Or, la SCPP, un représentant des ayants-droit cité par PC Inpact, a expliqué que le serveur concerné n’était “pas protégé car ne contenant pas d’informations confidentielles”. Lemonde.fr relevait que dans ce cas l’intrusion informatique n’est pas automatiquement caractérisée. Ne manquait plus que TMG s’en prenne sans raison légitime à Bluetouff pour catalyser le ressentiment des anti-Hadopi, déjà bien remontés à son encontre.
Cependant, contrairement aux apparences, l’affaire pourrait se calmer plus vite que prévu.
Olivier Laurelli a indiqué à lexpansion.com que Reflets.info, à l’origine de la publication, n’avait été notifié d’aucune plainte pour le moment. “Nous réfutons en tout cas toute accusation de piratage que pourrait invoquer TMG pour masquer maladroitement sa propre négligence. Nous nous amusons en outre que la divulgation de données de test, avec des IP de test, d’internautes de test, sur un serveur de test… suscite un tel émoi chez TMG”, explique-t-il.
Si aucune plainte n’est confirmée, c’est que du côté de chez TMG, on a peut-être parlé un peu trop vite. “Nous envisageons de retirer notre plainte contre X”, confie un porte-parole de la société, qui explique ne pas “vouloir jeter l’opprobre sur qui que ce soit”, à moins de trouver une preuve formelle d’intrusion d’ici là. La plainte n’aurait peut-être même pas été déposée du tout.
Est-on coupable d’intrusion quand on entre sur un serveur non protégé ?
Dans le cas où elle le serait, la jurisprudence n’est pas si floue que cela en la matière et il y a de grandes chances que l’affaire soit classée. L’affaire qui fait référence est celle de Kitetoa, en 2002. Il s’agissait là encore d’un auteur de Reflets.info, qui avait découvert une faille de sécurité sur un serveur de Tati. “La cour d’appel a posé des principes sur les limites à respecter, qui font depuis autorité, explique Benoît Louvet, avocat spécialisé dans les domaines d’internet et de l’informatique. Il y a hacking soit à partir du moment où on contourne des mesures techniques qui empêchent d’entrer sur un serveur, ce qui revient à commettre une intrusion. Soit quand il n’y a pas de protection ou que la mesure n’est pas opérante, mais qu’il est évident qu’on entre dans un espace dans lequel on n’a pas le droit d’entrer.” Un pirate coupable d’intrusion risque une amende et trois ans de prison, mais la peine est très théorique.
Qu’en est-il exactement pour TMG ? “Toutes les données étaient accessibles d’un simple clic, sans strictement aucun avertissement sur la nature confidentielle des données ni aucun dispositif de sécurité”, précise Olivier Laurelli. Il semble donc bien que dans ce cas il n’y ait pas piratage.
Là où le droit est plus flou, c’est sur la dénonciation des failles de sécurité. Benoît Louvet rappelle qu’il n’y a ni obligation de dénonciation (cela n’existe que pour les crimes), ni interdiction. Si elle procède d’une volonté manifeste de nuire, cela joue en défaveur de son auteur. En revanche, si la dénonciation est utile – ce que l’on pourrait dire de l’avertissement lancé par Olivier Laurelli, personne n’a envie que ses données se baladent dans la nature -, cela n’entraîne pas forcément la clémence.
Source : L’Expansion.com
Les commentaires sont fermés.