Patrick FERNER

Suite et fin :

"Sécurisation de la connexion ou dispositif de contrôle d’usage ?

La nature des « moyens de sécurisation » - qui sont censés exonérer les titulaires d’un accès à Internet de la responsabilité démesurée qu’on veut leur faire porter - est désormais claire : il s’agit de dispositifs visant à faire obstacle à certains usages et certains protocoles, et qui font en outre un renvoi d’information à un serveur distant pour vérifier s’ils sont activés. En clair : des mouchards filtrants.

Si le projet de loi était adopté en l’état, consacrant des dispositifs de filtrage avec (ou sans) mouchards comme « moyens de sécurisation exonérant valablement le titulaire de l’accès à un service de communication au public en ligne de la responsabilité visée à l’article L.336-3 », alors chaque abonné à Internet se trouvera très fortement incité à installer ces dispositifs réduisant arbitrairement leur droit à l’information, à la communication et à la vie privée. On peut toutefois douter que ces dispositifs soient effectivement installés par les particuliers mais on peut en revanche parier sur un tollé généralisé conduisant in fine à l’inapplicabilité de la loi, exactement comme ce qui a pu être constaté avec les DRM et la loi DADVSI.

Rappelons cependant une nouvelle fois que l’accès à des contenus ou applications sur Internet ne peut être limité que suite à une décision de l’autorité judiciaire.12 De plus il est reconnu que les techniques de filtrage quelles qu’elles soient présentent deux défauts intrinsèques majeurs : elles empêchent des usages légaux et il est toujours possible de les contourner. Cela fait d’ailleurs l’objet de 4 pages d’annexe dans le rapport Olivennes, reprises à titre informatif par Franck Riester dans son rapport pour la commission des lois de l’Assemblée nationale.

La solution la plus raisonnable d’un point de vue du respect des droits fondamentaux des utilisateurs consisterait donc, comme le préconise Bruno Retailleau dans son amendement adopté par le Sénat, en un dispositif de sécurisation de la connexion de type chiffrement WPA2 pour le wifi. En revanche, le principal inconvénient de cette solution est qu’elle ne suffit pas en elle-même à sécuriser une connexion (nécessité d’un mot de passe fort régulièrement changé) et la discrimination qui pourrait en résulter, notamment pour toutes les personnes disposant d’un matériel ne supportant pas ces technologies de chiffrement, et tous les professionnels qui les commercialisent. La Commission européenne ne manquerait pas alors de sanctionner la France pour atteinte à la libre concurrence. Elle a d’ailleurs d’ores et déjà annoncé qu’elle sera particulièrement attentive sur cet aspect prévisible de la loi HADOPI.13

Notons par ailleurs qu’en pratique l’obligation d’utiliser WPA2, si tant est qu’elle soit envisageable, n’empêchera pas le développement de pratiques de contournement pendant de longues années au regard de l’état du parc existant. Une récente étude parue dans la revue de sécurité MISC soulignait que dans le 5ème et le 13ème arrondissements de Paris, sur 31 000 points d’accès étudiés, plus de 2 000 étaient totalement ouverts et plus de 40% utilisait le protocole WEP, notoirement inefficace en terme de sécurité (cassables en moins de 4 minutes). Rompus au partage d’information, les téléchargeurs les moins responsables ne manqueront donc pas de s’échanger des listes de points d’accès utilisables dans leurs quartiers, multipliant d’autant les accusations envers des innocents.

Le projet de loi HADOPI s’appuie donc sur un dispositif non pertinent qui s’annonce aussi inefficace pour lutter contre les échanges d’œuvres entre particuliers, que dangereux par les dérives dont il est intrinsèquement porteur. Les multiples moyens de contourner et détourner la loi auraient dû depuis longtemps inspirer à ses rédacteurs l’humilité de revoir leur copie."

Voici la suite :

"Risques de détournement et de contournement de la loi

Au-delà des critiques générales (voir la note de François Pellegrini) et d’ordre juridique qu’on peut émettre sur le projet de loi (voir à ce sujet le dossier de la Quadrature du Net (PDF)), sa pertinence face à l’état de la technique est à remettre en cause profondément ; l’April l’avait d’ailleurs signalé à la mission Olivennes dès son audition le 12 octobre 2007.5

Tout d’abord, le dispositif prévu par HADOPI sera inefficace parce qu’il sera rapidement, facilement et massivement contourné. En effet, le dispositif prévoit que des agents assermentés agissant pour le compte d’organismes de défense des auteurs, éditeurs et producteurs de musique et de films procèdent à une recherche pro-active d’infractions. Lorsque des internautes seront repérés en train d’échanger des œuvres sans autorisation par ces agents, leur adresse IP sera relevée avec la date, l’heure et les œuvres concernées. Ce constat sera ensuite transmis à l’HADOPI, qui identifiera les internautes via les fournisseurs d’accès à Internet grâce aux adresses IP relevées, et pourra dès lors engager le processus d’avertissement et de sanction prévu par le projet de loi.

Or l’adresse IP n’est pas à la base une donnée d’identification fiable des internautes. Elle peut de plus être usurpée, empruntée ou modifiée par les utilisateurs. Ainsi, le fameux tracker de torrents The Pirate Bay a d’ores et déjà annoncé que des adresses IP fictives (notamment françaises) seraient injectées afin de tromper les agents assermentés.6 Des chercheurs de l’Université de Washington ont par ailleurs démontré qu’il était possible de faire croire qu’une imprimante avait téléchargé des fichiers sur internet !7 Prétendre accuser et sanctionner sur la base d’une telle donnée n’est donc pas sérieux.

Il faut également songer au recours aux procédés d’anonymisation et de chiffrement. Un logiciel d’échange de pair à pair (ou peer-to-peer) comme OneSwarm rend totalement impossible l’identification des émetteurs et des récepteurs, chaque ordinateur anonymisant les transmissions qu’il relaie. Par ailleurs, déjà plus de 20% du trafic de pair à pair est chiffré et le chiffrement est de plus en plus proposé en standard dans les logiciels de pair à pair. On peut aussi citer le service TorrentPrivacy qui permet aux utilisateurs moyennant quelques euros par mois de télécharger en affichant une adresse IP américaine ou canadienne tout en chiffrant leurs données.

Avec des solutions aussi simples et disponibles que le chiffrement et l’anonymisation, le dispositif HADOPI aura bien du mal à repérer les internautes français qui échangent des œuvres sans autorisation. Quant aux "contre-logiciels" que la ministre Albanel imagine pour éviter le contournement,8 soyons certains que les services de police du monde entier rêveraient de pouvoir en disposer. La puissance de calcul requise pour casser un chiffrement comme celui utilisé par ces logiciels fait que seuls des services de renseignement s’y essaient et uniquement de façon ciblée. Les "contre-logiciels" de Mme Albanel utilisables pour lutter massivement contre le chiffrement relèvent donc simplement de la science-fiction.

Ajoutons que la généralisation des échanges chiffrés causerait un dommage collatéral fâcheux, en rendant « aveugles » les services de police : les échanges chiffrés des criminels qu’ils observent se retrouveraient alors noyés dans la masse immense des échanges d’œuvres entre particuliers. Les utilisateurs développeraient par ailleurs un sentiment d’impunité et on peut s’interroger sur la pertinence d’inciter toute une génération à basculer dans la clandestinité.

Mais ce n’est pas tout. Il existe également un réel risque de détournement de la loi au profit de la cybercriminalité.

Avec les volumes gigantesques de courriels que l’HADOPI va envoyer chaque jour (10 000 courriels d’avertissement par jour9), il est évident que des délinquants vont envoyer de faux courriels estampillés HADOPI et contenant une pièce jointe que l’utilisateur sera invité à ouvrir pour connaître les faits qu’on lui reproche. En réalité, la pièce jointe pourra bien être un cheval de Troie qui transformera son ordinateur en machine zombie, les expéditeurs de tels leurres misant sur le fait qu’un courriel de menaces d’apparence officielle à plus de chances de tromper l’utilisateur.

C’est sans doute pourquoi aucune autorité ne devrait menacer massivement par courriels les citoyens et l’État devrait le faire savoir au lieu de se risquer à cette grande première.10

Ensuite, le dispositif HADOPI va créer un appel d’air pour des services commerciaux d’anonymisation ou offrant tout moyen d’échapper à la recherche pro-active d’infraction et à la répression de masse autorisées par le projet de loi. Le service russe Torrent Privacy déjà évoqué en est un bon exemple : il cible explicitement les utilisateurs français dans la vidéo de démonstration disponible sur son site.

En plus de contribuer à développer une économie off-shore, le développement d’une telle offre s’adressant à un public qui cherche à échapper à l’autorité publique sera également un moyen aisé pour récupérer des identifiants bancaires et/ou infecter des milliers de machines pour agrandir un parc de "machines zombies".11 Tout comme la peur de l’autorité, le désir de continuer à partager sera en effet sans nul doute exploité par les émetteurs de pourriels : des courriels malveillants avec une pièce jointe contenant soi-disant un logiciel d’anonymisation, en fait un virus, apparaîtront ainsi à peine la loi adoptée, les véritables cyberdélinquants étant particulièrement réactifs, comme l’actualité le démontre chaque jour.

Pour ces raisons, la loi risque de s’avérer totalement inefficace dans la lutte contre les échanges d’œuvres non autorisés entre particuliers, et contre-productive pour la sécurité informatique de chacun et la lutte contre la cybercriminalité. Alors que jusqu’à présent ces échanges ne bénéficient pas aux organisations criminelles - puisqu’étant réalisés sans intermédiaire, ni but lucratif, directement par les utilisateurs - la loi créera en fait un marché pour le crime organisé.

http://www.april.org

Ce qui est irrecevable, c’est qu’on remette en cause des libertés publiques pour un lobby qui met tout sur le compte de la copie illégale quand des études ont montré que celle-ci faisait tomber les ventes de CD de 10% seuelement et que ceux qui téléchargent le plus sont les plus gros acheteurs de CD ou de DVD.
En attendant, voici des arguments solides contre l’HADOPI :

"Le projet de loi Création et Internet / HADOPI crée une nouvelle responsabilité pour les titulaires d’un accès à Internet : l’obligation de « sécuriser » sa connexion afin qu’elle ne soit pas utilisée pour commettre des atteintes au droit d’auteur. Déjà présente sous une forme imprécise dans la loi DADVSI,1 cette responsabilité s’assortit désormais d’une exposition à des sanctions pouvant aller jusqu’à la coupure d’accès à Internet, et d’une obligation de mettre en œuvre un « moyen de sécurisation » labellisé par l’HADOPI.2 Il est désormais clairement établi que ces « moyens de sécurisation » seront en réalité de véritables mouchards filtrants.3 Examinons de plus près cette responsabilité et ses implications, et considérons plus en détail les mouchards filtrants que l’HADOPI imposera.

Une responsabilité disproportionnée - questions de sécurité informatique

On peut tout d’abord s’interroger sur l’opportunité et la légitimité de cette nouvelle responsabilité.

En effet, on ne songe pas à demander aux fournisseurs de technologies et de services (éditeurs de logiciels, fabricants de routeurs, FAI...) de garantir la sécurité des technologies ou des services qu’ils fournissent. On ne leur impose pas plus d’obligation de moyens. En conséquence, les utilisateurs n’ont qu’à se débrouiller pour assurer leur propre sécurité informatique. Il apparaît donc saugrenu de demander aux citoyens, aux simples utilisateurs qui n’ont pour l’immense majorité aucune compétence technique, de « sécuriser » leur accès à Internet.

Cela est d’autant plus saugrenu que les services de sécurité informatique des administrations de l’État ne sont pas eux-mêmes capables d’assurer une sécurité informatique sans faille. Récemment, le cas d’Intramar - le réseau intranet de la Marine Nationale - dont les machines ont été infectées par le ver Conficker, nous en fournit un bon exemple. Comment en effet sécuriser un accès à Internet si le PC lui-même est infecté et utilisé frauduleusement à distance ? Peut-on demander aux particuliers de réussir là où les services informatiques de l’armée française échouent ?

De même, on demande aux abonnés utilisant une borne wifi à leur domicile de sécuriser leur accès. Pourtant, des ministères comme celui de l’Intérieur ou Matignon, qui disposent pourtant d’équipes très compétentes en matière de sécurité informatique, ont renoncé au wifi car alors ils ne pourraient pas sécuriser convenablement leur réseau...

Enfin, on peut se demander si la ministre de la Culture ne souhaite tout simplement pas interdire le wifi, quand elle propose de faire peser sur les collectivités locales la responsabilité de l’utilisation de leurs « hotspots » (points d’accès à Internet par wifi ouvert, typiquement dans les jardins publics) par les utilisateurs nomades.4 Une telle approche risque tout simplement de conduire à la fermeture de ces hotspots, avec les effets associés en terme de développement de l’économie numérique, les collectivités ne souhaitant pas se voir responsabiliser pour une sécurité impossible à mettre en œuvre en pratique.

Il s’agit bien d’une coquille à propos du dollar et de l’or : c’est bien 1000 dollars et non 2000 qu’il faut lire.
Le fait qu’IBM pratique l’outsourcing en Inde m’a paru plus important et emblématique que la cession des parts aux Chinois de la société à capitaux mixtes Lenovo (après avoir, dans le passé, cédé sa filiale Acer). Vous auriez pu citer également l’abandon de la fabrication des disques durs au profit d’Hitachi en 2002. L’attitude d’IBM par rapport à cette grande invention du PC a toujours été bizarre : A la veille du lancement des premiers PC, les ingénieurs n’avaient prévu aucun système d’exploitation et c’est Bill Gates qui, fort habilement s’engouffra dans la brèche avec son DOS. Par la suite, IBM commercialisa une évolution du PC, le PS2 à usage professionnel et pourvu d’un OS maison. Quoi qu’il en soit, IBM a perdu tout contrôle sur son invention au profit de Microsoft à cause de cette erreur stratégique qui présida au lancement du PC. De toutes façons, le PC a toujours été marginal dans les activités d’IBM qui reste essentiellement un fabriquant de mainframes, un concepteur de logiciels complété par toute la branche des services et inginérie informatiques qui représente désormais la moitié de son chiffre d’affaires.
Et ce que vous dites a propos des parlementaires est juste : Aux USA, ce sont le Congrès et les lobbies qui dirigent le pays, ce qui conduit à s’interroger sur la marge de manoeuvre dont disposera Barack Obama pour appliquer sa politique. Quant à la France, on constate que nos députés sont de plus en plus soumis au pouvoir économiqie

Radix, quelles sont vos sources ?