En juin, les sociétés de cinéma Svensk Filmindustri et Nordisk Film, soutenues par le partenaire anti-piratage Rights Alliance, ont entamé une action en justice pour tenter de trouver une piste sur The Pirate Bay.
Dans un effort pour se rapprocher de l’emplacement du site, puis vraisemblablement de ses opérateurs, Rights Alliance a déposé des demandes auprès de Cloudflare et a ensuite déposé une plainte en Suède contre le fournisseur de VPN OVPN.
Selon Rights Alliance, The Pirate Bay avait utilisé OVPN pour protéger son emplacement et l’entreprise devrait donc avoir des informations utiles à partager.
L’affaire a pris de multiples rebondissements depuis, mais dans l’ensemble, le succès de l’affaire semble avoir été favorable à OVPN, qui insiste sur le fait qu’en tant que fournisseur sans journaux, il n’a rien d’utile à remettre.
Témoignage d’un testeur de pénétration Expert VPN Company
Plus tôt ce mois-ci, cependant, Rights Alliance a remis au tribunal le témoignage d’un expert possédant une solide expérience des services VPN. Jesper Larsson travaille pour la société de sécurité Ox4a mais est impliqué dans Guérir 53 où il dit qu’il effectue «régulièrement» des tests de pénétration contre les dix plus grands fournisseurs de VPN au monde.
Nous avons couvert son opinion en détail dans notre rapport précédent, mais il a essentiellement conclu qu’il devrait être «considéré comme extrêmement probable» que l’utilisateur ou l’identité associé au type spécifique de configuration VPN prétendument utilisé par The Pirate Bay aurait été stocké dans une base de données à quelque point.
« OVPN devrait ainsi pouvoir rechercher dans ses serveurs VPN l’adresse IP donnée, ou bien rechercher dans leurs bases de données d’utilisateurs ou dans des sauvegardes de celles-ci pour localiser un utilisateur ou une identité donnée », lit-on dans l’opinion.
Alors que dans des circonstances ordinaires, ce serait une conclusion raisonnable à tirer, dans notre rapport faisant suite au dépôt de l’avis de l’expert, nous avons publié des déclarations d’OVPN indiquant des circonstances particulières, celles qui suggéraient qu’il était incapable de rechercher sa base d’utilisateurs ou de récupérer des données à partir de sauvegardes de la période en question. C’est quelque chose dont Larsson n’était probablement pas au courant à l’époque.
L’expert engagé par Rights Alliance a-t-il été reconsidéré?
Le fondateur de l’OVPN, David Wibergh, fait partie d’un groupe Telegram assez important qui compte environ 339 membres. Selon les captures d’écran mises à disposition par lui, Jesper Larsson est également membre de ce même groupe.
Le 22 août 2020, un utilisateur du groupe a publié un lien vers notre article du 21 août qui signalait que Rights Alliance avait embauché Larsson pour évaluer la sécurité et les capacités de journalisation potentielles d’OVPN. Comme indiqué précédemment, l’article présentait également des commentaires d’OVPN sur l’utilité limitée des bases de données et des sauvegardes dans cette affaire, qui n’ont été rendues publiques qu’après le dépôt de l’avis de Larsson.
Comme l’image publié par OVPN et reproduit ci-dessous révèle, une discussion s’ensuit – y compris une réponse de Larsson lui-même.
Tous les commentaires sont en suédois mais Wibergh a fourni des commentaires et des traductions.
« [T]trois jours après sa remarque devant le tribunal des brevets et du marché – [Larsson] semble avoir changé sa position dans une conversation de groupe sur Telegram. Dans la conversation, Jesper commente notre entreprise. Jesper déclare d’abord qu’il «pense que l’ovpn a clairement fait du bon travail avec son intégrité et sa confidentialité» », écrit Wibergh.
Dans un commentaire de suivi, Larsson déclare: « Je suppose que le compte avec l’adresse IP statique n’est lié à aucune once de données PII pouvant être attribuées à une personne ou à une organisation »
Wibergh note que les «données PII» sont des informations d’identification personnelle sur un individu.
«La déclaration du spécialiste de la sécurité dans la conversation de groupe semble donc être en contradiction directe avec ses conclusions dans la déclaration au tribunal», dit Wibergh.
«Ce sera passionnant de voir ce que la Rights Alliance propose maintenant, car leur propre expert reconnaît qu’OVPN fait du bon travail en matière d’intégrité et de confidentialité, et qu’il ne pense pas qu’il y ait des informations identifiables à récupérer.»
Pour plus de clarté, il convient de noter la séquence des événements. Alors que Larsson semble avoir changé d’avis sur l’existence d’informations utiles à l’OVPN, cela est venu après le commentaire de Wibergh sur les procédures de sauvegarde de l’entreprise. Il s’agissait d’une réponse aux déclarations faites dans l’avis technique précédent, suggérant que des sauvegardes (si elles existent) seraient utiles.
Autres événements au cours de l’affaire
L’affaire de Rights Alliance contre l’OVPN a duré tout l’été, mais elle n’a pas été simple. Tout d’abord, il est basé sur un conflit simple et direct – Rights Alliance insiste sur le fait que l’OVPN a des informations à transmettre sur The Pirate Bay et OVPN insiste sur le fait que ce n’est pas le cas.
La bataille s’est donc centrée sur les deux parties essayant de convaincre le tribunal que l’autre a tort, les deux parties produisant des déclarations et des témoignages, tels que ceux fournis par l’expert en sécurité tiers, pour étayer ou ajouter du poids à diverses allégations. .
Cependant, l’OVPN remet en question l’affirmation selon laquelle Rights Alliance «est dirigée par des consultants indépendants» puisque l’affaire des sociétés de cinéma est dirigée par la chef de Rights Alliance, Sara Lindbäck, qui a présenté les commentaires de son collègue Anders Nilsson (concernant le fonctionnement des systèmes d’OVPN) comme « preuve »alors que l’avocat de l’OVPN estime qu’elle ne doit pas être considérée comme telle.
«En ce qui concerne le mémorandum appelé« preuve », il est à noter que – comme précédemment soumis des mémorandums – il a été rédigé par un employé de Rights Alliance, ie. les représentants des requérants », a écrit l’avocat de l’OVPN.
«De l’avis de l’OVPN, cela doit être considéré comme une soumission supplémentaire aux demandeurs plutôt que comme une preuve», a-t-il poursuivi, ajoutant qu’en tout état de cause, la soumission est «spéculative et vague» puisque la personne qui rédige le mémorandum ne semble pas savoir comment fonctionne le système de l’entreprise.
L’OVPN suggère que ce type de conjectures éclairées, effectuées par des étrangers qui n’ont aucune connaissance réelle du fonctionnement de l’entreprise, est devenu une caractéristique du cas à plusieurs reprises. Cependant, l’essentiel est qu’il ne dispose pas des informations demandées et ne peut donc pas les transmettre, quelle que soit la formulation des demandes.
L’OVPN estime qu’une décision finale du Tribunal des brevets et du marché (PMC) devrait arriver en septembre.