Vu sur le blog d'Olivier Parcollet
Chez TMG samedi c'était Open Bar ...
Notre ami Bluetouff nous a gentiment twitter. Normal, chez TMG, ce sont d'abord des chercheurs, donc j'imagine qu'ils expérimentent et que parfois ils diffusent à l'insu de leur plein gré. Perso, je mets plus celà sur le compte de l'incompétence que de la négligence caractérisée. Ces "gens", qui rappelons-le officient au sein d'une société privée, sont chargés de fliquer les réseaux P2P pour HADOPI et franchement ça fait peur. Remarquez, ça tombe bien, moi qui souhaitais organiser une prochaine session du vmug.fr sur la sécurisation des machines virtuelles en DMZ avec la collaboration de vrais auditeurs (qui m'ont d'ailleurs audité) de dans la vraie vie, ça fait un bon cas concret à évoquer dans le genre à ne pas faire .... Ah oui, cerise sur le gâteau : ça coûte combien déjà au contribuable ce truc ? Lisez plutot :
Reflets.info le 15/05/11 : Les p'tits trous, les p'tits trous...
C’est tellement énorme que c’est à se demander si TMG n’est pas récemment devenu une filiale de Sony, ou si ce que vous allez découvrir n’est pas un honeypot. A tout hasard, et vu qu’il y a quand même un paquet d’IP, nous n’allons pas faire tourner l’adresse de cette machine. Voilà en gros ce qu’on trouve de croustillant, il y a tout ce qu’il faut pour comprendre comment TMG procède et même plus :
un exécutable,
un password en clair dans un file de config
des hashing torrent des oeuvres surveillées pour piéger les internautes partageurs,
les scripts de traitement des logs,
les ip des connectés aux peers etc etc…).
Nous allons donc, de manière responsable, laisser TMG corriger ce qui ressemble quand même vachement à une négligence ultra caractérisée.
Le serveur ne présente strictement aucune protection tout est accessible, à portée de clic, c’est noël avant l’heure. Encore du grain à moudre pour les parlementaires qui s’inquiétaient qu’une société privée se voit confier une mission de monitoring de population et manipuler des quantités non négligeables de données personnelles sans contrôle sérieux.
Rappel : TMG, Trident Media Guard est une société privée mandatée par les ayants-droit pour relever les adresses IP des internautes en infraction sur les réseaux P2P.
Houston appelle la CNIL… répondez ! Allo la CNIL, we’ve got a problem !
______________________________________________________________
Vu sur Numerama.com :
Samedi, des milliers d'adresses IP et d'identifiants de fichiers surveillés sur BitTorrent ont été involontairement divulgués par la société TMG, qui collecte les adresses IP d'abonnés français dans le cadre de la riposte graduée. L'Hadopi, qui ne souhaite pas prononcer de moratoire avant d'avoir évalué la gravité des faits, dit prendre l'affaire "très au sérieux". Une enquête sur l'organisation des travaux de TMG sera ordonnée mercredi. Numerama, qui a pris connaissance des documents divulgués, confirme que des adresses IP françaises figurent dans les fuites.
Le contenu du serveur TMG
C'est Bluetouff qui a d'abord révélé l'affaire sur le site Reflets. L'un des serveurs de la société nantaise Trident Media Guard (TMG) s'est retrouvé samedi sans protection, laissant des fichiers potentiellement sensibles apparaître en clair. Or TMG n'est autre que la société nantaise employée par les sociétés d'ayants droit pour collecter les adresses IP d'internautes sur les réseaux P2P, dans le cadre de la riposte graduée mise en oeuvre par l'Hadopi.
"Il y a tout ce qu’il faut pour comprendre comment TMG procède et même plus : un exécutable, un password en clair dans un [fichier de configuration], des hashing torrent des oeuvres surveillées pour piéger les internautes partageurs, les scripts de traitement des logs, les ip des connectés aux peers etc, etc…)", rapporte le blogueur.
Numerama a également reçu samedi soir une archive troublante de 5 342 fichiers issus d'un serveur de TMG. Le message était signé d'un internaute se revendiquant des Anonymous France. A son ouverture, on découvre pour l'essentiel une grande quantité de fichiers HTML portant comme nom les signatures uniques (hash) de fichiers surveillés par TMG sur BitTorrent, parfois déclinés en trois parties :
Les adresses IP des serveurs qui émettent les fichiers ("publish") ;
Les adresses IP des pairs connectés aux serveurs ("connected peers") ;
Les adresses IP obtenues par échange de sources ("PEX", pour "Peer Exchange").
Les fichiers les plus récents sont datés du 14 mai 2011, tandis que les plus anciens remontent à avril 2008 (ce qui, soit dit en passant, pose question sur la durée de conservation des données personnelles par TMG). Selon nos constatations, il s'agit le plus souvent d'adresses IP étrangères (américaines, suédoises, italiennes...), mais certaines adresses IP présentes dans les "connected peers" renvoient bien parfois à des internautes français.
Nous avons ainsi découvert, à titre d'exemple, l'adresse IP d'un abonné d'Orange habitant à Marseille, associée au partage d'une version française du film d'animation Hop qui doit sortir au cinéma le mois prochain. Son adresse IP était présente dans un fichier daté du samedi 14 mai à 8h43 :
Notre source nous explique que ces fichiers étaient visibles sur le serveur de TMG "depuis au moins trois jours", sans qu'il y ait eu besoin du moindre piratage pour y accéder. Le serveur, une machine virtuelle, n'aurait tout simplement pas été sécurisé pour en interdire l'accès depuis l'extérieur. Tout n'a cependant pas pu être récupéré, et notamment pas les scripts python employés par la société nantaise. Leur téléchargement était interdit par la configuration du serveur Apache, au contraire des fichiers HTML.
Au vu des hashs répertoriés, dont une partie a été copiée sur Pastebin, beaucoup des fichiers observés semblent concerner les activités "hors Hadopi" de TMG, pour le compte d'ayants droit étrangers. On constate en effet une forte domination de films en version originale non sous-titrée, qui ne doivent pas faire partie des priorités des ayants droit en France (on voit tout de même des oeuvres françaises comme "Mesrine, l'instinct de mort") . Mais ces fichiers révèlent aussi peut-être des failles dans la procédure de collecte. On voit en effet TMG collecter des données sur des fichiers qui n'ont a priori aucun intérêt, comme des fonds d'écran à la gloire de Michael Jackson. Or ces derniers ayant dans leur nom les mots clés "This Is It", on imagine qu'ils ont été automatiquement ajoutés à la liste des fichiers surveillés sans que le contenu soit vérifié.
L'Hadopi adoptera un protocole d'expertise des procédures de TMG
Contactée par Numerama, la Hadopi nous a affirmé dimanche "prendre très aux sérieux" cette affaire, qui tombe au plus mal. TMG est la seule société à disposer de l'autorisation de la CNIL pour la collecte des adresses IP pour le compte des ayants droit, et toute sanction à son égard mettrait donc la riposte graduée en panne. Comme un mauvais hasard de calendrier, c'est mercredi prochain que la Commission de Protection des Droits (CPD) de l'Hadopi doit adopter à l'encontre de TMG un "protocole d'expertise technique", alors que l'absence de contrôle de la société nantaise a été pointée du doigt depuis plusieurs années, et notamment par la CNIL elle-même - sans que ça ne l'empêche toutefois de donner son autorisation dans des conditions encore obscures et obscurcies. En septembre 2010, après que les critiques de la CNIL furent rendues publiques, l'Hadopi avait dit souhaiter des audits "objectifs et indépendants" de TMG. C'est cela qui doit être adopté mercredi, mais qui apparaît aujourd'hui trop tard.
Il n'est pas question cependant, nous précise l'Hadopi, de prononcer un moratoire en attendant les conclusions de la mission d'expertise qui sera dépêchée. La Haute Autorité ne souhaite pas mettre en pause la riposte graduée sans avoir pleinement mesuré la gravité ou non de la publication des données, qui ne sont que partielles. Bluetouff, qui avait révélé le premier l'information (mais qui se basait lui-même sur un tuyau), sera d'ailleurs amené à dire à la CPD d'ici mercredi tout ce qu'il a trouvé, pour aider l'Hadopi à évaluer l'ampleur de la divulgation et ses conséquences.
Reflets.info le 15/05/11 : Les p'tits trous, les p'tits trous...
C’est tellement énorme que c’est à se demander si TMG n’est pas récemment devenu une filiale de Sony, ou si ce que vous allez découvrir n’est pas un honeypot. A tout hasard, et vu qu’il y a quand même un paquet d’IP, nous n’allons pas faire tourner l’adresse de cette machine. Voilà en gros ce qu’on trouve de croustillant, il y a tout ce qu’il faut pour comprendre comment TMG procède et même plus :
un exécutable,
un password en clair dans un file de config
des hashing torrent des oeuvres surveillées pour piéger les internautes partageurs,
les scripts de traitement des logs,
les ip des connectés aux peers etc etc…).
Nous allons donc, de manière responsable, laisser TMG corriger ce qui ressemble quand même vachement à une négligence ultra caractérisée.
Le serveur ne présente strictement aucune protection tout est accessible, à portée de clic, c’est noël avant l’heure. Encore du grain à moudre pour les parlementaires qui s’inquiétaient qu’une société privée se voit confier une mission de monitoring de population et manipuler des quantités non négligeables de données personnelles sans contrôle sérieux.
Rappel : TMG, Trident Media Guard est une société privée mandatée par les ayants-droit pour relever les adresses IP des internautes en infraction sur les réseaux P2P.
Houston appelle la CNIL… répondez ! Allo la CNIL, we’ve got a problem !
______________________________________________________________
Vu sur Numerama.com :
Samedi, des milliers d'adresses IP et d'identifiants de fichiers surveillés sur BitTorrent ont été involontairement divulgués par la société TMG, qui collecte les adresses IP d'abonnés français dans le cadre de la riposte graduée. L'Hadopi, qui ne souhaite pas prononcer de moratoire avant d'avoir évalué la gravité des faits, dit prendre l'affaire "très au sérieux". Une enquête sur l'organisation des travaux de TMG sera ordonnée mercredi. Numerama, qui a pris connaissance des documents divulgués, confirme que des adresses IP françaises figurent dans les fuites.
Le contenu du serveur TMG
C'est Bluetouff qui a d'abord révélé l'affaire sur le site Reflets. L'un des serveurs de la société nantaise Trident Media Guard (TMG) s'est retrouvé samedi sans protection, laissant des fichiers potentiellement sensibles apparaître en clair. Or TMG n'est autre que la société nantaise employée par les sociétés d'ayants droit pour collecter les adresses IP d'internautes sur les réseaux P2P, dans le cadre de la riposte graduée mise en oeuvre par l'Hadopi.
"Il y a tout ce qu’il faut pour comprendre comment TMG procède et même plus : un exécutable, un password en clair dans un [fichier de configuration], des hashing torrent des oeuvres surveillées pour piéger les internautes partageurs, les scripts de traitement des logs, les ip des connectés aux peers etc, etc…)", rapporte le blogueur.
Numerama a également reçu samedi soir une archive troublante de 5 342 fichiers issus d'un serveur de TMG. Le message était signé d'un internaute se revendiquant des Anonymous France. A son ouverture, on découvre pour l'essentiel une grande quantité de fichiers HTML portant comme nom les signatures uniques (hash) de fichiers surveillés par TMG sur BitTorrent, parfois déclinés en trois parties :
Les adresses IP des serveurs qui émettent les fichiers ("publish") ;
Les adresses IP des pairs connectés aux serveurs ("connected peers") ;
Les adresses IP obtenues par échange de sources ("PEX", pour "Peer Exchange").
Les fichiers les plus récents sont datés du 14 mai 2011, tandis que les plus anciens remontent à avril 2008 (ce qui, soit dit en passant, pose question sur la durée de conservation des données personnelles par TMG). Selon nos constatations, il s'agit le plus souvent d'adresses IP étrangères (américaines, suédoises, italiennes...), mais certaines adresses IP présentes dans les "connected peers" renvoient bien parfois à des internautes français.
Nous avons ainsi découvert, à titre d'exemple, l'adresse IP d'un abonné d'Orange habitant à Marseille, associée au partage d'une version française du film d'animation Hop qui doit sortir au cinéma le mois prochain. Son adresse IP était présente dans un fichier daté du samedi 14 mai à 8h43 :
Notre source nous explique que ces fichiers étaient visibles sur le serveur de TMG "depuis au moins trois jours", sans qu'il y ait eu besoin du moindre piratage pour y accéder. Le serveur, une machine virtuelle, n'aurait tout simplement pas été sécurisé pour en interdire l'accès depuis l'extérieur. Tout n'a cependant pas pu être récupéré, et notamment pas les scripts python employés par la société nantaise. Leur téléchargement était interdit par la configuration du serveur Apache, au contraire des fichiers HTML.
Au vu des hashs répertoriés, dont une partie a été copiée sur Pastebin, beaucoup des fichiers observés semblent concerner les activités "hors Hadopi" de TMG, pour le compte d'ayants droit étrangers. On constate en effet une forte domination de films en version originale non sous-titrée, qui ne doivent pas faire partie des priorités des ayants droit en France (on voit tout de même des oeuvres françaises comme "Mesrine, l'instinct de mort") . Mais ces fichiers révèlent aussi peut-être des failles dans la procédure de collecte. On voit en effet TMG collecter des données sur des fichiers qui n'ont a priori aucun intérêt, comme des fonds d'écran à la gloire de Michael Jackson. Or ces derniers ayant dans leur nom les mots clés "This Is It", on imagine qu'ils ont été automatiquement ajoutés à la liste des fichiers surveillés sans que le contenu soit vérifié.
L'Hadopi adoptera un protocole d'expertise des procédures de TMG
Contactée par Numerama, la Hadopi nous a affirmé dimanche "prendre très aux sérieux" cette affaire, qui tombe au plus mal. TMG est la seule société à disposer de l'autorisation de la CNIL pour la collecte des adresses IP pour le compte des ayants droit, et toute sanction à son égard mettrait donc la riposte graduée en panne. Comme un mauvais hasard de calendrier, c'est mercredi prochain que la Commission de Protection des Droits (CPD) de l'Hadopi doit adopter à l'encontre de TMG un "protocole d'expertise technique", alors que l'absence de contrôle de la société nantaise a été pointée du doigt depuis plusieurs années, et notamment par la CNIL elle-même - sans que ça ne l'empêche toutefois de donner son autorisation dans des conditions encore obscures et obscurcies. En septembre 2010, après que les critiques de la CNIL furent rendues publiques, l'Hadopi avait dit souhaiter des audits "objectifs et indépendants" de TMG. C'est cela qui doit être adopté mercredi, mais qui apparaît aujourd'hui trop tard.
Il n'est pas question cependant, nous précise l'Hadopi, de prononcer un moratoire en attendant les conclusions de la mission d'expertise qui sera dépêchée. La Haute Autorité ne souhaite pas mettre en pause la riposte graduée sans avoir pleinement mesuré la gravité ou non de la publication des données, qui ne sont que partielles. Bluetouff, qui avait révélé le premier l'information (mais qui se basait lui-même sur un tuyau), sera d'ailleurs amené à dire à la CPD d'ici mercredi tout ce qu'il a trouvé, pour aider l'Hadopi à évaluer l'ampleur de la divulgation et ses conséquences.
