quand la CNIL ne protège plus nos libertés

Cette histoire est hallucinante. J’ai déja évoqué ce dysfonctionnement  incriminant  la société privée qui gère la collecte d’adresses IP dans le cadre de l’Hadopi, cette loi  hautement liberticide contre laquelle je me bats sans relâche depuis le début.

 je m’attendais benoîtement à ce que les services de l’état obligent TMG à blinder son système informatique pour que cela n’arrive plus… Quel idiot je fais ! J’avais oublié qu’en Sarkozie, la reconnaissance d’une erreur est une pensée hérétique, qui n’appartient plus qu’à nous autres, les sans voix, les « du peuple ».

Non seulement la société en question n’a pas réglé le problème, mais la CNIL , censée protéger nos libertés individuelles et les risques du fichage informatique (qui n’ont jamais connu un tel essor depuis 2007) se retourne judiciairement contre l’un des sites qui nous a informé de cette situation.. et qui a pu démontrer que la sécurité informatique de la CNIL elle-même,  stupide histoire de chausseur mal chaussé,  est sujète à caution. En outre, plus important, le site en question, Electron libre,  nous apprend que l’Hadopi est loin de se monter l’instrument idéal que le gouvernement tente de vendre. La vocation de la CNIL serait-elle à présent de défendre l’Hadopi ?  On croit rêver… Mais non. Je laisse à présent la parole à Numérama qui vient de faire un très bon papier sur le sujet pour plus de détails sur cette troublante affaire :

L’affaire TMG prend une tournure étrange qui peut trahir un certain malaise. Chargée de protéger les libertés, la CNIL a porté plainte contre le site Electron Libre à qui elle semble reprocher d’avoir usé de sa liberté d’expression pour communiquer le contenu d’un rapport sur la société qui collecte les adresses IP destinées à l’Hadopi.

Souvenez-vous. Avant l’été, des données issues d’un serveur de la société nantaise chargée de collecter les adresses IP des internautes pour les transmettre à l’Hadopi avaient fuité, laissant présager la possibilité d’une importante faille de sécurité dans la riposte graduée. Tout a été fait depuis pour minimiser la portée de l’affaire, l’Hadopi se contentant du minimum syndical en suspendant la réception automatisée des adresses IP, sans interrompre ses relations commerciales avec TMG. La riposte graduée étant dépendante de cette seule société privée (sic), l’autorité administrative continuait de recevoir les adresses IP sur un support physique envoyé régulièrement par la Poste. Finalement, l’enquête ouverte par la CNIL s’est close le mois dernier, sans aucune sanction à l’égard de TMG.

Tout juste sait-on que la CNIL avait jugé, dans une mise en demeure, que la société s’était rendue coupable d’un « certain nombre de manquements aux obligations de sécurité, incompatibles avec l’activité de TMG : manque de rigueur dans la mise à jour des équipements informatiques, mesures de sécurité physique défaillantes et absence de procédure formalisée garantissant la bonne application de ces mesures« . Contredisant le discours officiel de l’Hadopi, la CNIL avait aussi précisé que les failles détectées par ses agents chez TMG concernaient aussi « les traitements mis en œuvre pour le compte de ses clients – les sociétés de gestion des droits d’auteur– dans le cadre du dispositif dit « de réponse graduée »« , et non pas seulement des serveurs de tests.

Cependant, la CNIL a porté plainte contre le site Electron Libre, à qui elle reproche la publication d’un article du 7 juillet 2011 qui l’accusait par ironie d’avoir elle-même fait preuve de négligence dans la sécurisation de son rapport. « La CNIL a tiré un document de synthèse de quatorze pages, que nous nous sommes procurés… Celui-ci décrit dans le détail le dispositif « secret » de TMG dans le cadre de la riposte graduée. C’est certainement là la plus grosse fuite depuis que cette loi a été votée, mais elle vient de la CNIL« , écrivaient nos confrères. Ils expliquaient en substance que le rapport contenait des informations si précises qu’entre de mauvaises mains, il aurait pu permettre à un hacker d’attaquer les serveurs de TMG et la riposte graduée.

Ce rapport que s’était procuré EL démontrait notamment que la base de données de la riposte graduée, hautement sensible, reposait « sur un simple mot de passe, détenu par un seul compte chez TMG« . C’est-à-dire, devine-t-on, par un seul ensemble login/mot de passe partagé par toute la société. Par ailleurs, « détail amusant, le cryptage n’est pas des plus poussés« , indiquait EL à la lecture du rapport.

La plainte, dont le site ne connaît pas encore le fondement juridique, a donné lieu à une enquête du parquet. Le directeur de la publication est convoqué la semaine prochaine à un interrogatoire, où lui sera probablement expliqué ce qu’on lui reproche exactement.

De là à penser que la plainte vise à identifier la source du journaliste, il n’y a qu’un pas.