La riposte graduée et l’Hadopi (Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet), le dispositif imaginé par les autorités françaises pour endiguer le piratage en ligne, ont dès leur conception été critiquées comme difficiles, voire impossibles à mettre en œuvre. La première mouture de la loi avait été en partie refusée par le Conseil constitutionnel, forçant les législateurs à en adopter une seconde. Mais les détracteurs d’Hadopi ne s’attendaient pas à ce qu’un prestataire privé chargé de recueillir pour la Haute autorité les adresses IP d’internautes potentiellement contrevenant leur serve sur un plateau un argument de poids. C’est pourtant ce qui vient d’arriver, avec la découverte, il y a quelques jours, qu’un serveur de la société TMG, pour Trident Media Guard, à Nantes, exposait à tous vents des données sur des internautes soupçonnés de participer à des échanges de fichiers à l’aide de logiciels de type BitTorrent. L’Hadopi a aussitôt annoncé qu’elle interrompait sa collaboration avec TMG, tandis que la Commission informatique et liberté (CNIL) se mêlait de l’affaire, annonçant qu’elle se rendait à Nantes « pour contrôler TMG à la suite de la fuite d’adresses IP ». Il faut dire que la CNIL avait dès le début émis de sérieuses réserves sur TMG et l’absence de contrôles de son fonctionnement.
TMG, le seul « renifleur » habilité de l’Hadopi, se vante sur son site d’utiliser les techniques les plus avancées en matière de sécurité informatique. Mais l’auteur du site reflets.info a été tellement choqué de ce qu’il a découvert en examinant un de ses serveurs de TMG qu’il a commencé son article par « dites moi que c’est un honeypot svp », précisant : « voilà en gros ce qu’on trouve de croustillant, il y a tout ce qu’il faut pour comprendre comment TMG procède et même plus : un exécutable, un password en clair dans un file de config, des hashing torrent des œuvres surveillées pour piéger les internautes partageurs, les scripts de traitement des logs, les ip des connectés aux peers etc etc… ». Le site d’informations technologiques Numerama a indiqué avoir pris connaissance d’une archive contenant plus de 5 000 fichiers et « un très grand nombre d’adresses IP » d’internautes.
C’est bel et bien une tragique pantalonnade pour l’Hadopi. Une des particularités de la législation Hadopi est qu’elle a cherché à surmonter la problématique de la possible utilisation d’un réseau domestique Wifi par un pirate-hacker en chargeant chaque internaute de sécuriser son réseau à l’aide d’un logiciel mouchard. Il ne devait donc plus être possible pour un internaute partageant des œuvres protégées sur Internet d’affirmer « c’est pas moi, c’est mon voisin indélicat ». L’Hadopi était censée décerner prochainement des labels aux mouchards qu’elle juge fiables. Avec le phénoménal ratage de TMG, prestataire professionnel chargé par les ayant-droits d’identifier des contrevenants, l’ensemble du montage semble soudain remarquablement bancal, et les questions suivantes sont posées : les internautes doivent protéger leur connexion, mais les intervenants de la répression anti-piratage peuvent se permettre d’être négligents sur la sécurité ? Pourquoi est-ce cette société privée qui a été chargée par la Haute autorité de collecter des données pouvant déboucher sur des poursuites judiciaires, comment a-t-elle été choisie et comment est-elle contrôlée ?
TMG a cherché à minimiser l’affaire, affirmant, contre toute évidence, qu’aucune adresse IP n’avait fuité et qu’aucune donnée personnelle n’avait été exposée sur le Net. Le fait que la CNIL ait choisi de faire une descente à Nantes suggère qu’il ne s’agit pas, comme l’a avancé TMG, que d’une archive qu’une équipe de R[&]D aurait laissé traîner – à vrai dire même si c’était cela ce serait déjà alarmant en soi. L’Hadopi se relévera-t-elle de cette embarrassante affaire ? C’est probable, mais elle n’en ressort certainement pas grandie.