Tout n’est pas tout rose en ce beau weekend de mai… la cathédrale de Reims est certes en couleur pour ses 800 ans, le soleil est certes là…mais une (pardonnez moi l’expression) putain de what the fnuck d’information vient de tomber : la société TMG est à l’ouest total.
Petit rappel, la société TMG (Trident Media Guard, société privée) est chargée de relever les adresses IP des internautes pris en flagrant délit de téléchargement illégal sur un réseau P2P (avec la mule par exemple), elle est mandatée par les ayants droits pour faire cela et le fait dans le cadre de la HADOPI.
Donc, une société privée qui traite des données personnelles et qui est chargée de vous griller en infraction sur le réseau…so what?
Et bien, l’ami @bluetouff nous informe qu’une (monstrueuse) faille de sécurité a été détectée sur les serveurs de la société.
L’adresse IP du serveur en question reste inconnue, bluetouff ne souhaitant pas la communiquer (et il à raison, il y a certainement des informations dedans à ne pas donner à des kiddies en soif d’exploits : maman, j’suis sur les serveurs de TMG)
Que retrouve-t-on sur le serveur en question :
Bluetouff en à fait une liste, que je me permet de reprendre :
• un exécutable,
• un password en clair dans un file de config
• des hashing torrent des oeuvres surveillées pour piéger les internautes partageurs,
• les scripts de traitement des logs,
• les ip des connectés aux peers etc etc…).
Oui oui, vous avez bien lu, un mot de passe en clair, les adresses IP des personnes connectées au peers…en gros, énormément de données qui ne doivent pas être accessibles de l’extérieur, éventuellement cryptées, sur un serveur sécurisé…là, rien de tout ça.
Comme le dit Bluetouff : « Le serveur ne présente strictement aucune protection tout est accessible, à portée de clic, c’est noël avant l’heure. Encore du grain à moudre pour les parlementaires qui s’inquiétaient qu’une société privée se voit confier une mission de monitoring de population et manipuler des quantités non négligeables de données personnelles sans contrôle sérieux. »
C’est tellement gros qu’on se demande si tout ceci n’est pas une farce, un « Honeypot », un truc vachement attirant pour les pirates, qui se font piéger une fois dedans…sérieusement, j’espère pour TMG, parce que si ceci n’est pas une blague, ça va faire…mal.
Petit message à l’attention de la HADOPI maintenant (et message très sérieux) :
Mr Walter, j’imagine que ce que vous venez de lire ne vous est pas inconnu, vous devez en voir pas mal des articles comme ça depuis quelques jours…Si tout ceci n’est pas une blague de TMG c’est grave. Grave dans le sens ou cette société privée gère des données personnelles. En tant que citoyen, j’attends de ce type de société un minimum de précautions sur le traitement de masses de ces données….et la TMG démontre par a + b qu’ils n’ont pas pris ces précautions.
C’est pourquoi je demande, comme bon nombre d’Internautes depuis des mois ainsi que bon nombre de députés, un audit de la société TMG, de sa façon de travailler, de sa façon de traiter les données, de leurs procédures de détection, de la société … tout simplement.
Cela devient nécessaire et pour nous citoyens, et pour vous car cette affaire va vous retomber sur le coin de la figure, je vois déjà les titres : « Hadopi travaille avec TMG, qui à laissé des données à caractère personnel en libre accès » ou » Hadopi, TMG, travail sérieux ou vaste fumisterie? »
Edit : attention, comme me le signale Bluetouff, la HADOPI ne peut être tenue pour responsable de tout ceci, cependant, dans l’esprit de beaucoup de gens, l’amalgame va être rapide.
Source : http://reflets.info/le-honeypot-de-tmg/