☠ Reposons le problème

• ni un antivirus,
• ni un firewall
• ni un logiciel de contrôle parental
• ni un IDS (système de détection d’intrusion)…

☠ Re-Reformulation de la problématique

« Travailler à l’élaboration d’un bidule qui va permettre de spécifier un machin nouveau qui fait des trucs innovants mais qui restent à définir ». (NDLR : « putain 3 ans! »)

• de l’accès à son réseau local ;
• l’accès à son système ;
• de la protection de son patrimoine informationnel ;
• de la protection de son identité numérique ;
• du transport de ses données sur le réseau…

Billets aléatoirement en relation... ou pas:

• BBox Fibre by Numéricable… smells like p0wn4ge
• Social DDoS : merde on a perdu Bachar #OpSyria
• De la polémique Google sur la vie privée
• HADOPI : son pire échec
• 20 Minutes n’a pas tout compris à HADOPI

Alors qu’HADOPI s’apprêtait à montrer son vrai visage, pas celui de la pédagogie, mais celui de la répression des internautes partageurs par voie de justice, la Haute Autorité s’est récemment retrouvée malgré elle au coeur de l’actualité. Je vous disais donc que tout commençait par la transmission de dossiers à la justice, c’est le Point qui a révélé la mise en place de l’artillerie répressive, invoquant des sources judiciaires. Numerama a eu le bon goût de publier un petit guide utile aux avocats qui auront à défendre certains internautes, pointant du doigt quelques courants d’air de procédure. Un peu partout en France, les procureurs de la République vont donc maintenant voir affluer ces dossiers au motif d’un délit d’un affligeant ridicule, le fameux  »manquement à l’obligation de surveillance de l’accès à Internet« . Rappelons qu’à ce jour, les internautes ne disposent toujours pas des moyens de sécurisation promis, et pour tout vous dire… ils ne sont pas prêts de voir le jour. Pire, on ne sait toujours pas ce qu’il faut sécuriser exactement, attendu que le décret d’application omet finement de définir ce qu’est une connexion Internet. C’est donc à ce moment clé que tout le monde se pose la question légitime : « il y a quoi exactement dans ces dossiers transmis à la justice ?« . Contre toute attente, ce ne sont pas les plaignants (les ayants droit) qui allaient fournir des éléments, ni TMG, mais l’HADOPI.

 ☠ Y’a quoi dans cette boite noire ?

Peu après, la Haute Autorité publiait le rapport de David Znaty. Le rapport de monsieur Znaty a d’ailleurs été attentivement lu et critiqué de manière constructive par Zythom, expert judiciaire lui aussi dont je ne saurai trop vous recommander de lire régulièrement le blog.

A l’époque je m’étais insurgé du manque de transparence autour de l’audit réalisé par le cabinet HSC, qui compte parmi les tout meilleurs. J’avais d’ailleurs fini par publier ce que j’étais parti présenter à la commission de protection des droits de l’HADOPI suite à la découverte d’un serveur ouvert aux 4 vents qui nous indiquait assez de choses déjà à l’époque pour savoir comment TMG travaillait au flicage des internautes. Les auditeurs étant soumis à des closes de confidentialité, ces derniers n’avaient pas pu publiquement s’exprimer autrement que par une petite phrase assassine en réponse à une question en off du SSTIC « TMG était déjà avant ça à classer dans la catégorie charlots« .

L’audit d’Hervé Shauer a très probablement révélé de graves anomalies. L’enfumage de la CNIL n’y fera rien. Elle donna son accord à TMG pour reprendre ses activités. Oui mais voilà… ça coince. Et ça coince au niveau de l’HADOPI qui n’a pas voulu rétablir l’interconnexion entre son système de traitement de données et celui de TMG. Les IP aujourd’hui flashées par TMG transitent donc en train entre Nantes et Paris, sur un disque dur, dans les mains d’un coursier.

☠ Pwn1ng TMG for fun profits

L’affaire TMG avait sérieusement entamé le capital confiance déjà pas folichon qu’on pouvait porter au dispositif de riposte dite graduée. Le capital confiance en TMG, ses processus de contrôle bien sur, mais également le capital confiance envers les ayants-droit qui ont toujours marqué certaines prédispositions à cacher la misère.

Il faut bien avouer qu’en période de campagne électorale, c’est quand même plutôt gonflé. La politique numérique de Nicolas Sarkozy se dévoile au plus mauvais moment. De la répression qui marchouille, des délits mal définis techniquement et s’appuyant sur un chunk de 15 secondes tirant son checksum dans les métadatas d’un master. Derrière ce jargon technique, certains d’entre vous auront parfaitement compris qu’il suffit donc de remasteriser une oeuvre pour que ses copies numériques deviennent indétectables par TMG, vu que ces derniers n’auront pas les metadatas d’une oeuvre remasterisée si personne ne leur transmet.

Nous attendons tous avec une grande impatience de découvrir le contenu des dossiers transmis à la justice. Ayants droit, vous êtes prévenus, les internautes sont joueurs, vous commencez à le savoir…

☠ De la porosité de la citadelle pseudo imprenable

Et c’est désormais une tradition, quand le Net est agressé, il se défend. L’occasion était trop belle, il fallait marquer le coup et « fêter » la mise en place de la machine répressive. Anonymous a donc bondi sur l’occasion en interceptant des correspondances de l’HADOPI avec les ayants droit. Nous y avons découvert les petites colères des ayants droit suite à la publication du rapport Znaty. Si vous n’avez pas compris pourquoi, veuillez relire attentivement la phrase en gras avec du jargon technique dedans un peu au dessus.
Cette histoire de petite fuite présentée comme étant issue de l’HADOPI a de quoi surprendre, je ne serai personnellement pas surpris qu’elle émane plutôt d’un maillon faible, au hasard de chez les ayants droit.

☠ Une seule offre légale : iTunes

Au détour d’une conversation, je suis retombé sur ce billet prémonitoire qui date de 2008. Presque 4 ans plus tard, le constat est pour le moins acide. Apple règne comme prévu en leader incontesté de la distribution. Les majors ne veulent toujours pas ouvrir leur catalogue ou le font via des deals exclusifs en demandant des tickets d’entrée surréalistes afin d’empêcher l’arrivée de tout nouvel entrant sur le marché. Non contents de se goinfrer de la sorte, les majors continuent à pratiquer des prix sidérants pour des supports matérialisées ou non, et poussent pour certaines les cynisme jusqu’à augmenter leurs tarifs quand un artiste de leur catalogue meure, en prévision de ventes accrues.

… Et comme prévu en 2008, Google, avec un peu de retard, arrive, lentement, mais surement… et avec une stratégie bien à lui.

Rien n’y fera, nous le savons, les majors sont bien en train de perdre la distribution. Comme je le prédisais en 2008, cette époque où les commerciaux d’Universal se pointaient dans des magasins physiques et imposaient des quantités pour une implantation, négociant les rachats des invendus à des prix bien en dessous du prix de vente à leur distributeur… est terminée. Sur du dématérialisé, pas d’invendus. Une marge en moins qu’HADOPI et toutes les études plus bidons les unes que les autres n’ont probablement jamais pris en compte.

☠ La colère d’Internet contre les ayants droit monte

Les ayants droit sont les premiers à fustiger l’HADOPI, alors que les dossiers de justice n’étaient pas transmis au parquet, ces derniers disaient avoir des moyens de se mettre à lutter contre le direct download aux côtés de TMG. Quid des procédés techniques ? Là encore on risque de bien rire. Mais là n’est pas le problème. Le problème, c’est qu’à l’époque du DADVSI, l’ancien dirigeant de la CNIL, Alex Turk, faisait passer un cavalier législatif autorisant, en prévision d’HADOPI, la privatisation d’un pouvoir judiciaire, déléguée à des charlots… TMG. Normal me direz vous car ce n’est certainement pas l’autorité judiciaire qui va s’amuser à traiter la traque des internautes qui partagent le dernier Lady Gaga alors que ces derniers, qui traquent quand même la pédo pornographie, les arnaques sur le Net, les intrusions (…) ont moins de budget que l’HADOPI ! Le paquet est donc mis sur les internautes partageurs, les criminels, eux peuvent dormir sur leurs deux oreilles.

La fermeture de Megaupload a une fois de plus soulevé Anonymous, signe d’un pourrissement de la situation qui commence, par effet ricochet, à avoir des conséquences importantes, qu’elles soient médiatiques ou qu’elles le soient moins. Aujourd’hui, c’est trop tard, HADOPI a bien échoué sur un point : internautes et ayants droit sont irréconciliables. En entrant dans sa phase de répression par les tribunaux il ne nous reste plus qu’à constater qu’HADOPI a échoué dans son rôle soit disant préventif, et c’est là son pire échec. Si les 35% de Nicolas Sarkozy tenaient une ombre de vérité, HADOPI n’aurait jamais eu besoin d’entrer dans cette phase et aurait continué à être ce qu’elle était jusque là, la machine à spams la plus chère du monde au profit d’une clique d’évadés fiscaux.

HADOPI n’est qu’une étape, vers la lente régulation orwellienne d’Internet, des entreprises françaises sont très dynamiques dans les technologies de surveillance de masse, mais manque de bol, leur activité n’est ici pas légale, ou difficilement. Vous découvrirez sur Reflets très prochainement la « malédiction Amesys » qui illustre très bien ce dernier propos… stay tuned.

N’oubliez jamais une chose : il suffit souvent de 5 gus dans un garage pour que….

Billets aléatoirement en relation... ou pas:

• HADOPI : An interoperable and modular XML bullshit
• 20 Minutes n’a pas tout compris à HADOPI
• HADOPI : Pascal Nègre défend son bébé
• HADOPI : réponse sommaire à la problématique de la labellisation des moyens de sécurisation
• HADOPI : La riposte graduée est morte comme le Disco

@ManuDwarf a relevé une pépite dans l’édition papier de 20 Minutes. La brève est incompréhensible, car la bourde est de taille. Décryptons ensemble ce petit bout de désinformation. Voici ce que nous reporte le journal :

« La loi HADOPI ne frappe pas uniquement les Internautes privés. Elle concerne aussi les Fournisseurs d’accès (FAI), comme Free ou Numéricâcle, qui doivent mettre en place des procédures pour traquer le téléchargement illégal. Et la facture est salée : 2,5 millions d’euros, a dévoilé hier lexpress.fr »

20 Minutes à visiblement du mal à assimiler que ce ne sont pas les FAI qui traquent les Internautes, mais les ayants droit, via une petite bande de grands comiques basés à Nantes, TMG.

Les fournisseurs d’accès Internet, on ne leur demande qu’une chose, c’est de mettre un nom sur un numéro (une adresse IP). C’est le coût de cette identification dont on parle ici pour les 2,5 millions d’euros… un coût sur lequel Christine Albanel expliquait en son temps qu’il serait anecdotique.

L’anecdote à 2,5 millions d’euros pour financer une industrie de vautours capables de ça, je ne vais pas vous faire un dessin et je vais m’arrêter là avant de devenir grossier.

Billets aléatoirement en relation... ou pas:

• HADOPI : An interoperable and modular XML bullshit
• HADOPI : son pire échec
• HADOPI : Pascal Nègre défend son bébé
• HADOPI : réponse sommaire à la problématique de la labellisation des moyens de sécurisation
• HADOPI : La riposte graduée est morte comme le Disco

Pirate Lolcat by icanhascheezburger.com

Pascal Nègre, PDG d’Universal Music France, en tournée d’auto-promotion pour son bouquin, donnait hier une interview à TF1.fr, aka je vire abusivement les salariés qui ne sont pas d’accord avec HADOPI. Ouais… vous sentez le coup venir là déjà… Pascal Nègre… TF1… faut pas s’attendre à un moment de journalisme aspirant au Pulizer. Et ça commence dés le titre, par une citation de Pascal Nègre « Grâce à Hadopi, le disque a arrêté de chuter« … HADOPI aurait donc un effet sur les ventes de disques ? C’est étrange ce que dit l’ami Pascal car c’est pourtant pas ce que semblent dire les chiffres selon Guillaume. Là, il y en a au moins un des deux qui ment effrontément, à votre avis c’est qui ?

Voyons les arguments de Guillaume développés sur Numerama, je cite :

« Selon l’Observatoire de la Musique, le chiffre d’affaires de l’industrie phonographique a encore plongé de 13,7 % au troisième trimestre. Depuis le début de l’année, les recettes dues aux ventes de CD et DVD musicaux ont baissé de 9,8 % à 507,2 millions d’euros, tandis que le marché numérique progresse de 25 %, mais à seulement 64,2 millions. La hausse relative du numérique, qui d’ailleurs ralentit au lieu de s’emballer, est encore loin de compenser la baisse des CD. »

Voilà pour les chiffres, vainqueur par KO : Guillaume

Je me suis fait violence, j’ai lu l’Interview de Pascal Nègre, je me doutais bien que j’y trouverais des perles… bingo !

Les révolutions de Pascal (Talkin’about a revolution ?) … to me ?

Pascal est une sorte de lolcat à sept vies, dans l’Industrie du Disque il a vécu pas moins de 4 révolutions qui auraient du le tuer… et il est toujours là.

Comment ceci est-il possible ?

« Lorsque j’ai commencé mon métier, le disque vivait quatre révolutions : l’arrivée du CD, les radios libres, la publicité télé, et la baisse de la TVA. Aujourd’hui, avec les supports dématérialisés et  le buzz internet pour parler de nos artistes, je vis de nouveau une révolution. La différence, c’est qu’à l’époque il n’y avait pas de piraterie. »

Pascal découvre la piraterie avec Internet, mais où était il donc ces 15 dernières années ?

Allez on va mettre les fessées dans l’ordre et rafraîchir la mémoire de Pascal :

1° On commence par les radios libres, je vais me la faire méthodique, ça va être rapide, je regarde ce que raconte Wikipedia sur les radios libres…  et je tombe sur quoi en première phrase ?

« Une radio libre, initialement synonyme de celui de radio pirate, »

… Headshot !

2° On continue avec la seconde révolution du lolcat Pascal : l’arrivée du CD. J’étais certes très jeune, mais je l’ai connu, allez, séquence émotions, souvenez vous des actions intentées contre Philips et Sony par l’industrie du disque, ces CD et ces graveurs qui permettaient de copier à l’identique un support numérique… de pirater tout votre merveilleux catalogue. Le « CD c’est la mort de la musique » claironnait votre industrie qui s’éveillait à la duplication numérique.

3° La troisième révolution de Pascal, c’est la pub à la TV… chacun ses références culturelles, pour moi, la révolution ce serait sa suppression. Mais la TV et les magnétoscopes pour enregistrer Dimanche Martin, ça aussi ça a failli tuer la culture, souvenez-vous Pascal :

Reportage Piratage INA

4° La Quatrième et dernière révolution de Pascal c’est la TVA à 5,5% sur le disque qui est la seule révolution n’ayant pas connu les « pirates ».

5° C’est aussi une révolution, une vraie révolution, qui profite à tout le monde et non pas à l’Industrie du Disque… c’est Internet, mais cette révolution là, ce n’est pas la vôtre Pascal.

La complainte de Pascal (blues en La mineur pour énormités majeures)

« Le problème, c’est que lorsque l’industrie du disque a expliqué que tout n’était pas génial dans Internet, on nous a traités d’hommes préhistoriques ! »

À titre personnel je vous qualifierais plutôt de rapaces et de pleurnichards perfusés aux brouzoufs du contribuable. Pire encore, vous êtes prêts à sacrifier les libertés de tout un peuple si les technologies de reconnaissance de contenus (oui, je parle bien de DPI), peuvent vous donner l’illusion de sauver votre industrie. Au final, nous savons tous que ce sont vos salaires que vous sauvez, pas les artistes et encore moins la création. Pour cette offensive sur les libertés, j’ajouterais donc le qualificatif de terroriste (un prêté pour un rendu).

« Plutôt que des brontosaures, on a peut-être été des pionniers. »

Les pionniers sont des gens qui créent, qui évoluent et qui impulsent une dynamique du vivre mieux. Votre industrie de copie de galettes en plastique, là, elle meurt Pascal. Les pionniers sont des bâtisseurs, des explorateurs… bref tout le contraire de votre industrie qui est restée scotchée sur ses belles années 80.

« La manière dont on s’est adapté pourrait inspirer d’autres industries. »

LOL ! Elle est bien bonne celle ci ! si les autres industries s’inspiraient de celles du Disque, on aurait des « cartes voitures jeunes », des « cartes boucherie jeunes » , des « cartes électroménager jeunes »… le tout aux frais du contribuable qui devrait s’acquitter de 50% de la facture… exemplaire cette industrie du disque ! Si on poursuit même l’exemple de l’industrie du disque jusqu’au bout, on aurait d’ailleurs pas une « carte voiture jeunes » mais une « carte calèche jeunes ».

Deezer de midi à quatorze heures

« Pardon ? Deezer  a eu accès à tous nos catalogues !  C’est d’ailleurs ainsi qu’ils sont passés de rien du tout à une marque connue. »

Plus la peine de chercher l’offre légale de midi à 14h, grâce à la sympathique Industrie du Disque, nous avons en France une offre légale de qualité : Deezer, iTune, Deezer, iTune, Deezer… c’est une belle réussite, merci Universal ! Et quand on vous parle de Jiwa ? Ah c’est vrai, vous causez pas aux pauvres dans votre milieu :

« Jiwa a déposé le bilan en disant qu’on demandait des droits impossibles mais il ne faisait pas 25.000 euros de chiffre d’affaires par mois. Ils n’ont jamais payé un catalogue ! Avant de payer les droits, ils n’arrivaient même pas à payer leurs salariés. »

Salauds de pauvre !

« En France, on a tout de même une richesse d’offres et de plateformes démente. Aux Etats-Unis et en Allemagne, il n’y a qu’iTunes alors qu’Apple ne représente que 40% du marché français.« 

C’est un point intéressant, j’ai pu observer, à la sortie de la carte musique jeunes, que vous n’êtes toujours pas fichus de proposer un catalogue unifié sur une seule plateforme. Bilan, il faut plusieurs cartes si vos goûts sont trop éclectiques. Bravo, là encore il y a de quoi pavoiser, ça fait 15 ans que vous n’êtes pas fichu de proposer un catalogue unifié.

(…) un ange passe

Et on arrive enfin au plat de résistance, les bébés de Pascal :

Le DADVSI qui selon lui protège son Industrie. Dans les faits, les DRM n’ont fait qu’accélérer la chute des ventes de CD puisqu’il devenait impossible de lire les CD légalement achetés sur son ordinateur ou sur son autoradio. D’ailleurs le succès est tellement énorme que l’industrie a du abandonner les DRM et que les parlementaires continuent à se cacher derrière leur petit doigt quand on leur demande le rapport d’impact de cette ânerie. Mais pas de doute pour Pascal, le DADVSI, ça vous a vachement protégé :

« A l’époque, la loi DADVSI (NDLR : Droit d’auteur et droits voisins dans la société de l’information) a mis quatre ans à adopter une directive européenne qui nous protégeait enfin…« 

Pour HADOPI, je ne reviens pas sur le chiffre, on a vu que Guillaume de Numerama était vainqueur par KO, on va donc éviter de frapper un homme à terre. On va juste s’amuser un peu de la crédulité de Pascal Nègre qui pense peut être que le contribuable est prêt à sponsoriser 50 000 identifications d’IP par jour pour ses beaux yeux. Pascal Nègre concluera sur l’Epic Success de la carte Musique Jeune :

« Et cela redonne de la valeur à la musique…. »

Soit Pascal, mais pour moi votre carte machin, c’est une prime à la casse pour tenter de doper artificiellement des ventes qui plongent irrémédiablement… votre métier change Pascal, ce n’est pas sale.

Billets aléatoirement en relation... ou pas:

• HADOPI : An interoperable and modular XML bullshit
• HADOPI : son pire échec
• 20 Minutes n’a pas tout compris à HADOPI
• HADOPI : réponse sommaire à la problématique de la labellisation des moyens de sécurisation
• HADOPI : La riposte graduée est morte comme le Disco

Je me permet de publier les quelques observations que j’ai fait à l’HADOPI concernant les spécifications des dispositifs de filtrage, c’est assez sommaire car chaque point mériterait à lui seul que l’on s’y appesantisse bien plus. Les voici livrés de manière brute.

AVERTISSEMENT : les spécifications des moyens de sécurisation de la HADOPI peuvent profondément évoluer, il est donc nécessaire que les personnes concernées se manifestent et enrichissent ces spécifications avec des remarques ou fassent part de leurs inquiétudes sur divers points. En tout cas je vous encourage à le faire, ce n’est pas du temps perdu. La loi est là, il faut maintenant l’appliquer, à nous de faire en sorte que ce soit avec le moins de casse possible.

Le problème des réseaux sans fil publics

• Les abonnés SFR utilisent souvent la connexion de leur voisin à leur insu (connectivité en roaming même depuis leur domicile). Il me semble important de demander à cet opérateur (comme à Free avec son service FreeWifi, même si ce dernier attribue une adresse ip différente de celle de la box à laquelle le freenaute est connecté) des chiffres sur cette pratique.
• Ces réseaux publics avec portail captif sont très souvent vulnérables à un bypass d’authentification par encapsulation tcp over DNS.
• Les réseaux publics déployés dans des lieux publics sont aussi souvent (même très souvent) mal configurés, un scan du lan une fois connecté au portail captif permet aisément de trouver l’ip de l’AP, ses ports ouverts, et donc l’interface d’administration. pour l’interface HTTP le mot de passe est souvent bien modifié, ce qui est très rarement le cas de l’accès console via ssh à ce même AP.
• Toujours pour ces réseaux publics, les firmwares sont très rarement à jour, et donc exploitables.

Filtrage sur les protocoles (En fonction de la taille, des formats, débits, profils utilisateurs , débits, volumes et plages horaires).

Appliquer une politique de sécurité en fonction de ces critères est hasardeux, le risque de surblocage est très important. Le filtrage sur un protocole n’est pas acceptable en soi, c’est une discrimination par défaut, pas plus que ne l’est une approche statistique, même si l’on sait qu’à la sortie des écoles, un fichier de 700 mégas avec une extension .avi a 90% de chances d’être un fichier contrefait.
L’usage d’un protocole P2P pour des raisons légitimes ne peut pas être entravé, même par un simple avertissement. Dans le cadre de la cellule familiale, si un enfant utilise un protocole de P2P pour une raison légitime et que ses parents n’ont ne serait-ce qu’un avertissement, il partiront du principe que le P2P est une technologie problématique et donc proscrite.

L’analyse des configurations des postes clients (logiciels installés) risque d’être un gros frein, à moins que les journaux produits ne puissent être exploités que par l’utilisateur. De trop nombreux utilisateurs de Windows utilisent des logiciels crackés et vont prendre peur que cet outil agisse comme un mouchard.

Outils de journalisation

• le principe du double archivage des journaux me semble acceptable, je n’ai aucun problème avec ça.
• j’ajouterai la journalisation des adresses mac des clients du lan, qui même falsifiables sur le poste client, peuvent être corrélées avec les durées de session et donc être utiles pour disculper une personne victime d’une intrusion sur son réseau sans fil. Cependant, il est à noter que des box comme certaines anciennes Livebox proposent par défaut une fonctionnalité obligeant les postes clients à déclarer les mac adress pour pouvoir se connecter au WLAN (ces box sont livrées avec du WEP activé par défaut). Le résultat, c’est que l’intru, à l’aide d’un outil de sniffing wireless comme aircrack, peut repérer les mac adress connectées à la box (et donc autorisées) visionner le volume de trafic entre le point d’accès et le client, et donc usurper la mac d’un client autorisé (mac spoofing).
• le contrôle de l’utilisateur sur les données de journalisation chiffrées est un bon point, l’utilisateur doit pouvoir demander ponctuellement le déchiffrement de son journal et s’assurer que la version non chiffrée n’a pas été altérée par un simple diff.

L’anonymisation des journaux envoyés pour déchiffrement des données collectées est très importante.

La sécurité est indissociable de la notion de confiance, et je ne vois pas comment l’HADOPI dont la mission initiale est de faire diminuer l’échange de fichiers contrefaits peut être un tiers de confiance acceptable par les utilisateurs. Même anonymisée, cette fonctionnalité sera en toute logique boudée des utilisateurs.

Concernant le stockage de données issues des contrôles des flux réseaux sur le LAN de l’utilisateur, en ce qui me concerne je refuserai catégoriquement qu’une machine connectée à mon réseau local aille scanner d’autres machines de mon LAN, même si ces informations restent sur le poste clients, il serait par exemple mal venu de compromettre une machine de mon LAN sous OpenBSD ou Linux parce qu’un logiciel sous Windows a décidé de stocker des informations sur mon LAN. Je n’accorde aucune confiance à ces moyens de sécurisation  sur une machine cliente.
La problématique des ordinateurs portables se connectant sur mon LAN (amis, famille) qui stockeraient des informations sur mon réseau domestique me fait froid dans le dos. Si un tel dispositif est labellisé, j’interdirai purement et simplement la connexion de tiers sur mon réseau de peur qu’un défaut de mise à jour ou une faille ne vienne compromettre une partie de mon LAN. Au mieux je demanderai la désinstallation complète du dispositif de sécurisation à un tiers pour le laisser se connecter à mon LAN. Qu’on le veuille ou non, cette fonctionnalité est assimilable à un mouchard, elle est donc à proscrire.

Systèmes d’exploitation libres et moyens de sécurisation

Les systèmes d’exploitation libres disposent déjà d’outils performants de sécurisation (de la vraie sécurisation qui lutte contre des accès frauduleux et qui ne condamne pas un usage). Les Unix libres disposent par défaut de Packet Filter et GNU/Linux de Netfilter/Iptable. Ces outils correctement configurés sont suffisants pour assurer un niveau de sécurité satisfaisant, tout dispositif supplémentaire est non seulement inutile et aucun crédit ne saurait leur être accordé. Tout labellisé qu’il soit, un tel dispositif a par exemple fort peu de chance d’apparaître dans les packages d’OpenBSD.
Même si ces solutions existent, elles ne seront jamais intégrées dans des distributions car ni leur fondement légal, ni leur philosophie, sont compatibles avec les logiciels libres.

Le principe des listes et solutions de contrôle parental


De ce point de vue, je n’ai aucun problème, à la seule condition que la configuration par défaut du dispositif fasse apparaître clairement les sites filtrés et qu’aucun site ne soit filtré à l’insu de l’utilisateur. Attention, ceci exclu de fait certaines solutions. Ces listes doivent être lisibles et éditables par l’utilisateur. Aucun site ne doit être placé dans une liste noire à l’insu de l’utilisateur.
Le principe des listes peut convenir mais il est par exemple hors de question qu’une société tierce, comme OPTENET, qui semble avoir des liens affirmés avec les milieux intégristes catholiques et qui a déjà montré en Australie son zèle à filtrer secrètement des sites parfaitement légaux, devienne le garant de ma morale ou de celle de mes enfants. cf : http://bit.ly/be4M7f
« Ces listes (centaines de milliers d’éléments, en général) sont définies et mises à jour par diverses organisations ou groupes d’ordre éthique. » : permettez moi d’en douter, OPTENET équipe aujourd’hui l’éducation nationale et n’est pas un tiers de confiance fiable à mes yeux.

Les problèmes de normalisation au niveau européen


Cette digression sur Optenet me fait sérieusement réfléchir sur une éventuelle compatibilité (et sur le papier elle se doit de l’être) avec les dispositifs européens de filtrage normés (ils devraient l’être au début de l’année 2011). Il va de soi que non seulement je vais m’opposer haut et fort à ce que la France se base, contre les avis de l’AFNOR, sur une norme européenne dont on sait qu’elle a été tronquée par des intérêts privés et qu’elle présente un caractère prêtant à une grande suspicion.
A la veille du vote de l’article 4 de la Loppsi, si nous avons le moindre soupçon de mise en place d’outils un peu trop « polyvalents », nous nous y opposerons fermement et avec les arguments idoines.

Protection antivirale


« Un antivirus car l’application devra se protéger contre les différentes attaques qui ne manqueront pas de surgir contre elle-même. Elle devra détecter des logiciels de contournement, etc. »
Cette définition fonctionnelle me semble erronée.
Il existe déjà des éditeurs proposant des solutions antivirales, je ne comprends pas ce que ceci vient faire dans un dispositif labellisé par la HADOPI. Par définition l’usage d’un antivirus est nécessaire quand c’est trop tard.
Enfin ajouter un antivirus a des solutions antivirales existantes alourdira la charge dédiée à la sécurité de manière inutile en diminuant sensiblement les performances des machines des utilisateurs.

Le coeur du problème : l’analyse dynamique de flux


« Le but de ce module est d’inspecter dynamiquement le contenu entrant et sortant du trafic sur les interfaces du réseau de la machine de l’utilisateur. »
Cette fonctionnalité est dangereuse et ne produira que pour seul effet d’amputer les internautes d’une partie d’Internet.

• Quid des logs produits ?
• Quid des protocoles exotiques ou nouveaux non répertoriés par l’éditeur ?
• Quid du comportement de cette fonctionnalité sur les outils d’anonymisation de trafic (TOR/Freenet) ?

« En cas de découverte d’une configuration atypique, une notification de bas niveau est générée.  »
Là encore c’est très discutable, quid de la défense d’un internaute pour justifier une configuration atypique nécessitée par un usage légal, quid de sa valeur au moment de défendre sa bonne foi ? On s’oriente vers des écueils juridiques où les utilisateurs ont tout à perdre : cette fonctionnalité doit impérativement être indépendamment désactivable

Des mesures de sécurité qui n’en sont pas

Page 24 : « (pas de sécurisation WPA, SSID en clair, routeur avec aucun contrôle sur les adresses MAC des appareils se connectant à lui, etc.) ».

• Un SSID en clair n’est pas une vulnérabilité (même masqué, un SSID est détectable, ainsi que le BSSID, par de simples outils d’analyse de réseaux sans fil)
• Un dispositif de contrôle des adresses mac n’est pas non plus un dispositif de sécurité sérieux (il est contournable en 5 secondes).

Leur absense n’ont donc pas à générer d’alerte. Il est même dangereux de définir ces mesures comme des mesures de sécurité car ceci sème le trouble chez certains utilisateurs qui se pensent sécurisés sous prétexte que leur SSID est invisible.

Un point intéressant qui a le mérite d’expliquer clairement les intentions du dispositif

Page 24 : « L’application doit aussi conseiller et guider l’usager pour les divers appareils qui ne sont pas des ordinateurs (lecteur DVD, Boitier multimédia, etc.) mais qui sont susceptibles de posséder des fonctions de téléchargement avec une problématique de contrefaçon. »
Ces dispositifs tendent donc explicitement à limiter les usages de matériels possédant des fonctionnalités de téléchargement. Comme ça c’est clair, l’idée est de « sécuriser contre le téléchargement », mais pas de sécuriser les données personnelles de l’utilisateur. Cette phrase a elle seule discrédite l’ensemble de la démarche, on est plus dans la sécurisation, on est bien dans le registre de la surveillance.

Un point de détail assez amusant

Un peu plus loin (P.27), la solution propose même de « bloquer toutes les connexions ; » … là, vous avez intérêt à avoir une hotline assez sérieuse et ça promet de grands moments…

Contournement du dispositif et contre mesures

La sécurisation des moyens de sécurisation est illusoire, l’histoire nous montre que _tous_ ces dispositifs ont été compromis au moins une fois. L’exploitation à grande échelle est restreinte par la diversité. Si un mécanisme labellisé et donc présent dans toutes les solutions est faillible, le risque d’une exploitation à grande échelle est inéluctable. Un moyen de sécurisation ne saurait réussir à comprendre ce qu’il se passe dans une machine virtuelle, seules des traces « réseau » pourraient apparaître dans les journaux. Si elles sont chiffrées, seul un mécanisme de signature de trafic pourrait permettre de repérer une tentative de contournement et cette perspective est inquiétante et sa pratique généralisée n’est pas souhaitable. Toute approche de reconnaissance de contenus, ne saurait se faire que sur un fondement légal valable et motivé par des faits graves. Par delà les problématiques de priorétarisation de trafic légitime, elle posera à terme des problèmes car il est tentant d’utiliser cette technique pour des causes non légitimes. Nettoyer Internet de contenus copyrightés n’est à mon sens pas une cause légitime et constituerait un détournement non souhaitable de cette technologie.
Je m’inquiète de voir apparaître un dispositif supplémentaire sur les réseaux mobiles, même si ce n’est pas ce qui est clairement expliqué dans le document (page 8). Les réseaux mobiles sont déjà assez filtrés (usage manifeste du DPI) pour que l’on ajoute une couche supplémentaire de filtrage.

En conclusion

Je persiste et signe, l’HADOPI est illégitime dans cette mission, l’intitulé « moyens de sécurisation » est séduisant mais il est trompeur quant aux objectifs. C’est le droit d’auteur qu’on protège en condamnant des usages et non les internautes.
Le risque de voir ces solutions labellisées HADOPI répondre aux normes européennes en font un outil rêvé de contrôle moral et politique basé sur la peur du gendarme, effet renforcé par le délit de négligence caractérisée. Si sur la forme certains points de ce document semblent techniquement corrects, le fond et les motivations de la démarche l’invalident à mes yeux totalement.
Même labellisés, ces moyens de sécurisation n’auront donc pas droit de citer chez moi et je déconseillerai vivement leur installation.

Billets aléatoirement en relation... ou pas:

• HADOPI : An interoperable and modular XML bullshit
• HADOPI : son pire échec
• 20 Minutes n’a pas tout compris à HADOPI
• HADOPI : Pascal Nègre défend son bébé
• HADOPI : La riposte graduée est morte comme le Disco

Il en aura fallu du temps pour faire comprendre à certains ne serait-ce que 10% de la bêtise du mécanisme de riposte graduée… Mais apparemment, ça commence, petit à petit, à rentrer. Si certains députés de la majorité (en plus de ceux de l’opposition) s’étaient déjà clairement opposés à la riposte graduée, soulignant le caractère liberticide et injuste, l’infaisabilité technique et le gouffre financier qu’allait représenter son application, on gardera à l’esprit que le texte est passé comme une lettre à la Poste, ce après une censure au Conseil Constitutionnel. L’avertissement du  Conseil des Sages n’avait pas été jugé suffisant… quelle monumentale erreur.

Aujourd’hui, la riposte graduée semble avoir du plomb dans l’aile

Commençons par la député Marland-Militello qui quelques semaines après avoir demandé à ce que 2 millions de plus soient accordés à la HADOPI dans la loi de finance 2011,  veut maintenant mettre l’accent sur le volet préventif, à savoir l’offre légale… ça, c’est nouveau, et passé le style stalinien qui caractérise sa prose, toujours à la gloire du chef, la député Marland-Militello appelle maintenant à un gèle de la riposte graduée à l’étape 1 tant que l’offre légale est insatisfaisante, ce qui nous fait, comme nous l’avions prévu dés le début… 12 millions pour une machine à spam, la classe !

Ce dont la député Marland-Militello ne semble pas prendre la mesure, c’est que cette offre légale, tant que les majors n’auront pas remis leur stratégie en question… elle n’est pas prête de voir le jour… et donc l’HADOPI n’est pas prête de passer à l’étape 2, le courrier recommandé.

La « révolution culturelle et éthique » dont parle la député Marland-Militello dans son dernier billet est donc bien en marche… mais à reculons.

Du consensus à « l’auto désaccord de l’Elysée avec lui même »

Plus sérieusement maintenant, le Nouvel Obs et 20 Minutes rapportent que selon le député Tardy, Nicolas Sarkozy lui même aurait évolué sur les questions numériques. La scène s’est jouée à huis-clos devant des députés de la majorité, le chef de l’Etat aurait exprimé des doutes sur le cap de sa politique numérique. Sans jamais la nommer, Nicolas Sarkozy semblait implicitement faire référence à l’HADOPI, identifiant un nouvel ennemi, cette fois ci clairement désigné, à savoir Google.

«Nicolas Sarkozy a parlé d’Hadopi sans la nommer, mais pour une fois ce n’était pas pour la vanter, mais pour dire que le texte avait été difficile à adopter et qu’il y aurait pas mal de choses à revoir sur le numérique» rapporte le député. Et d’ajouter : «J’ai l’impression qu’il y a une vraie prise de conscience du chef de l’Etat sur le numérique, qu’il est en train de se dire que c’est un vrai sujet et qu’il va falloir l’aborder autrement que par le seul côté répressif (… ) Peut-être qu’il se rend compte que ce n’est pas à l’échelle de la France que ça se joue. Ce serait intéressant qu’il en fasse une question internationale ».

Ce mea culpa Élyséeen, c’est bien… mais c’est trop tard

Tout ce temps perdu pour en arriver à la conclusion que nous venons de perdre encore 3 ans. Pendant ce temps, Google, lui, a préparé sa riposte non graduée à l’industrie du disque, et ça va faire mal… très mal. La taxe Google revient donc sur la table. Taxer les services en ligne est une idée assez étrange, une sorte de cyber protectionnisme alors que notre industrie culturelle n’a absolument rien à y opposer… pourquoi pas, mais permettez moi de douter. Usuellement, quand on prend des mesures protectionnistes, c’est qu’on a une offre équivalente à mettre en avant… nous on a tellement même pas de quoi faire illusion, que c’est encore le contribuable qui s’y colle.

Aujourd’hui, je dois vous avouer que j’ai les yeux rivés sur la « majorette » EMI que l’on sait assez mal en point. EMI intéresserait fortement Warner Music. Si Warner parvenait à se porter acquéreur d’EMI, il ne resterait donc plus que 3 majors pour se partager le gros du catalogue mondial. Warner  offrirait 750 millions de dollars à Terra Firma Capital Partners, principal actionnaire d’EMI et le plus gros créancier de la majorette, Citigroup, pousserait également Terra Firma Capitals Partners à céder ses parts. Il ne resterait donc plus, si ce rachat venait à se concrétiser, que Sony (qui avait déjà croqué BMG), Universal Music (Vivendi), et Warner Music Group dont le titre boursier a pris presque 7% depuis le jour de la propagation de la rumeur… Et ça pour l’industrie du disque, c’est dans le meilleur des cas…

Devinez ce qui arriverait si Apple, qui détient déjà la plateforme de distribution (iTune), ou Google qui a des vues manifestes sur les contenus musicaux, se décidaient à faire une offre pour croquer EMI. Ceci sonnerait tout simplement le glas de l’industrie du disque « à la papa » à laquelle l’ami Pascal tente de se raccrocher comme il le peut.

Le combat n’est cependant pas terminé

Maintenant que la conséquence semble vouée à une petite mort, il va falloir se débarrasser de la cause. Le délit que sanctionne la riposte graduée est bien pire que la riposte graduée elle même, la contravention pour négligence caractérisée DOIT être purement et simplement supprimée du texte de loi. Le défaut de sécurisation de l’accès Internet reste d’une bêtise sans nom et fait planer le spectre d’une sanction sur les plus vulnérables. Ce n’est pas acceptable et nous ne l’accepterons pas.

La rémunération des créateurs est toujours la grande oubliée

HADOPI n’a trompé personne, les auteurs n’ont jamais eu à y gagner quoi que ce soit, et ça commence aussi à se voir. D’ailleurs, ça se voit tellement que le législateur veut maintenant taxer de manière outrancière les gros bénéfices d’une industrie qu’HADOPI était sensée sauver d’une mort certaine… du grand n’importe quoi. Taxer les bénéfice d’une industrie en crise ? Vous le voyez mieux l’impact du piratage sur cette industrie maintenant ?

Et pendant ce temps, les créateurs, eux, sont toujours victimes de l’opacité de la redistribution de la taxe sur la copie privée et victimes des conditions financières des majors qui ont surtout profité du virage numérique pour manger encore plus de marge sur les oeuvres vendues une fois dématérialisées.

Tout ça pour ça…

/-)

Billets aléatoirement en relation... ou pas:

• HADOPI : An interoperable and modular XML bullshit
• HADOPI : son pire échec
• 20 Minutes n’a pas tout compris à HADOPI
• HADOPI : Pascal Nègre défend son bébé
• HADOPI : réponse sommaire à la problématique de la labellisation des moyens de sécurisation

Numérama rapportait aujourd’hui, que dans une interview accordée à France 24, notre Ministre de la Culture qui ne comprend pas comment nous en sommes arrivés là avec HADOPI. C’est quelque chose que j’avais déjà tenté d’expliquer ici à propos de la négligence caractérisée. Frédéric Mitterrand semble surpris du bourbier qu’est HADOPI :

« Je peux comprendre, je n’ai aucune envie de diaboliser les adversaires. D’abord parce que ça n’est pas dans ma nature, et puis en plus quand il y a des adversaires très très résolus, c’est qu’ils ont une pratique, c’est qu’ils ont des habitudes, etc. Il faut essayer de comprendre pourquoi ils en sont arrivés là »

Je vais donc essayer monsieur le Ministre, de vous apporter quelques réponses, rien d’exhaustif, mais quelques points qui font que cette loi, en l’état, ne peut être acceptées des internautes.

Les odieuses tractations entre gens tous d’accord (ou presque)

Les accords Olivennes, qui sont aussi et surtout les accords de l’Elysée, ou plutôt les accords du Fouquet’s, ont commencé à éveiller notre attention. Tout ceci s’est joué de manière convenue entre personnes toutes d’accord entre elles à l’exception de Xavier Niel. De par sa fonction, le dirigeant de Free ne pouvait pas ne pas être convié. Il a donc fallu lui faire une forme de chantage (à coup de licence 3g) pour qu’il consente à aller à reculons signer une feuille blanche, chose qu’il confiera peu après à la presse. Comble du cynisme Monsieur le Ministre, votre prédécesseur, Madame Albanel a osé appeler cette mascarade un « consensus ». On voit bien aujourd’hui ce que donne ce consensus.

Ceci ne trompe aujourd’hui plus personne, il est maintenant de notoriété publique que ces pseudos accords étaient uniquement destinés à mettre en place l’inacceptable… et devinez quoi… 3 ans après c’est toujours aussi inacceptable et inaccepté. Internet a une mémoire monsieur le Ministre.

Je frappe d’abord et je discute après

L’intégralité des débats parlementaires sur HADOPI ont offert un triste spectacle aux internautes qui se sont passionnés pour ce texte qui entend modifier plus de 10 ans d’usage . Certes, vous êtes arrivés en cours de route, mais jetez au moins un oeil sur tout ce que vous avez raté, le médiakit de la Quadrature du Net, que votre prédécesseur qualifiait de 5 gus dans un garage, pourrait vous être utile. Tout y est passé : listes blanches, filtrage, sur-référencement de l’offre légale (atteinte manifeste à la libre concurrence), présomption de la culpabilité, atteinte à la liberté d’expression,double et triple peine… et hop une censure au Conseil Constitutionnel. Puis HADOPI 2, passage en force, contournement juridique de l’avis du Conseil des Sages grâce subterfuge de l’ordonnance pénale… bien joué, mais ça ne sera pas suffisant.

Malgré ces signaux, le gouvernement a jugé opportun, de passer en force manifestant un profond mépris de notre démocratie, un mépris de l’opposition, même quand cette opposition était dans son propre camp et prodiguant des conseils souvent très avisée.

Bilan, aujourd’hui nous avons :

• toujours pas d’offre légale (elle est si pitoyable que c’est le contribuable qui en est de sa poche pour essayer d’en faire la promotion… et je ne parle même pas de la risible mise en place) ;
• toujours pas de moyen de sécurisation ;
• des mafias s’enrichissent grâce à HADOPI.

… au moins il y a une certaine constance dans la méthode : on frappe d’abord, on discute après. On stigmatise un problème (la rémunération des auteurs) sans y apporter de solution. Et quand on se trouve dans ce genre de situation, il ne fait pas l’ombre d’un doute que l’on fait partie intégrante du problème. Donc non HADOPI n’est pas une solution, elle est le problème. Vous pouvez croiser tous les doigts que vous voulez Monsieur le Ministre, HADOPI ne peut fonctionner, et ne fonctionnera pas. Sur Internet on ne peut pas envoyer de CRS pour disperser les manifestants, votre gouvernement a voulu le conflit, il a maintenant une guerilla sur un champ de bataille qu’il ne connait pas et pour lequel il n’a pas d’arme adaptée. Les internautes ne lancent plus de pavés, mais des octets. Il va vous falloir faire face au mieux à un cyber 68, au pire un superbe bourbier qui pourrait très bien dégénérer.

Multiples manifestations d’incompétence

Un bon lien valant mieux qu’un long discours, je vous invite à lire et visionner ceci. Je ne sais pas pour vous, mais personnellement je ne peux me résigner à accorder le moindre crédit à ce texte quand je vois le sérieux avec lequel il a été voté. HADOPI est une blague, depuis le début, et si la HADOPI espère faire peur avec ça, et bien c’est pas gagné ! Au mieux ce texte fait rire, au pire il agace, mais faire peur… bon allez, si ça vous le fait abroger, pas de problème je suis prêt à déclarer publiquement que je suis mort de trouille et on en parle plus et tout le monde est content.

HADOPI défend les intérêts des copains du Fouquet’s

Le cynisme d’HADOPI ne s’arrête pas là. Êtes-vous en mesure, monsieur le Ministre, de me citer un seul nom d’artiste qui a gagné ne serait-ce qu’un seul centime grâce à ce texte ? Moi, d’ici, ce que je vois, c’est que le contribuable injecte 50 millions d’euros sur deux ans en période de crise dans une odieuse carte musique jeune, en plus de tous les cadeaux qui ont été faits aux industriels de la culture. Mais les artistes sont bien les grands oubliés… que faites vous pour eux avec ce texte monsieur le ministre ? Les artistes que je connais sont dans leur grande majorité dans une précarité assez extrême, et vous distribuez des millions à tour de bras à une industrie qui se porte parfaitement bien ! C’est indécent. Faisons un peu l’addition pour le contribuable d’ailleurs …

Et non, ce n’est pas gratuit !

• Débats parlementaires : environ 180 millions d’euros (nombres de Parlementaires multiplié par le salaire en jours, multiplié par le nombre de jours de débats + commissions parlementaires… allez je suis sympa, je ne compte même pas les salaires ministériels, ni ceux des attachés parlementaires et ministériels… avec ça on pourrait facilement doubler le coût de la mascarade)
• Un site de propagande, jaimelesartiste.fr : 80 000 euros pour 3 semaines d’uptime.
• Carte musique Jeune : 50 millions d’euros sur 2 ans
• Budget de la HADOPI : 12 millions par an, on va lui donner une espérance de vie de 2 ans, jusqu’en 2012 et partir sur une enveloppe globale (surement sous estimée) de 22 millions d’euros
• Identification des internautes : quelques patates « indolores » aux dires de Christine Albanel soit 8,5 euros, multipliés par 50 000 adresses IP par jour, multiplié par 365 jour dans l’année : 155 125 000 euros ! Comme je ne crois pas un instant au chiffre annoncé de 50 000 saisines par jour, on va être gentil et tabler sur 5 000 par jour, ce qui nous fait une enveloppe déjà confortable de 15,5 millions d’euros, auquel on ajoutera la remise spéciale faux cul de FAI (ce gens qui font de la pub pour du téléchargement illimité) concédée par Orange, Numéricable et SFR, il faudra peut-être un jour dédommager Free, tablons sur un timide 4 millions d’euros.
• … je m’arrête là parce que je suis en train de perdre mon calme, mais il faudra ajouter à ça encore une tournée de débats parlementaires pour faire sortir ce texte de notre corpus législatif, les frais de dédommagement en justice des « erreurs » de l’HADOPI… la facture totale en 2012 pourrait s’élever assez facilement à un demi milliard d’euros si on veut vraiment appliquer ce texte ! Et à côté de ça on rabote sur les jeunes entreprises innovantes qui sont l’avenir de nos emplois et l’un des moteurs de notre croissance pour économiser 50 millions d’euros !

… tout ça pour un texte inapplicable qui sera abrogé et dont nos enfants se moqueront pendant des dizaines de générations. Dans un siècle, HADOPI sera étudiée dans les classes d’histoire comme un épisode tragicomique du 21e siècle…

Et après ça, Monsieur le Ministre, vous vous étonnez que l’opposition à ce texte soit si importante ? Moi pas… je trouve même parfaitement logique que la pilule de la réforme des retraites passe mieux que celle d’HADOPI.

Billets aléatoirement en relation... ou pas:

• L’Europe souhaite encadrer l’exportation de ventes d’armes numériques
• Vers une HADOPI du Jihad ou le jour où Nicolas Sarkozy a baissé son pantalon face au terrorisme
• Gérard Longuet en VRP de la mort en Libye
• HADOPI : An interoperable and modular XML bullshit
• #SarkoCensure : Twitter se justifie de manière pitoyable et accentue sa censure

En faisant ma petite review du reveil, je suis tombé sur le billet de Korben qui s’interroge sur l’entêtement aveugle de l’HADOPI sur cette histoire de logiciel de sécurisation, intimement liée au délit de négligence caractérisée. Je suis globalement tout à fait d’accord avec lui mais je préciserai simplement deux ou trois points.

On ne peut pas vraiment parler d’entêtement de la Haute Autorité, le mal est plus profond : il est inscrit dans la loi. Toutes les idioties les plus énormes qui font que la Haute Autorité est actuellement embourbée dans ce Vietnam est uniquement du à l’entêtement du législateur, et pour être précis, à son manque de courage face à la volonté de l’Elysée. Il y a tout d’abord les sénateurs, qui de droite comme de gauche, on voté un texte auquel ils ne comprennent strictement rien, et il y a ensuite, chose plus grave, une partie des parlementaires qui savaient très bien que cette loi était mauvaise et dangereuse, qu’elle allait contre l’intérêt commun… mais qu’importe, en bons godillots et par pur calcul de leurs propres intérêts, ils l’ont quand même voté… ce n’est pas là la conception que je me fais de notre République et je vais aller encore plus loin.

Pour l’immense majorité des parlementaires, on ne me fera pas croire que les quelques élus qui ont daigné être présents pour lever le bras au moment du vote (alors qu’ils étaient absents pendant les débats) ont compris plus 30% des enjeux du texte qu’ils ont votés.

Hadopi : Le pire du pire de l’assemblée

Vous n’allez pas non plus me dire qu’une personne comme le sénateur Masson a capté un broc de ce qu’il a voté :

Comme moi hier, Numerama s’interrogeait sur la capacité des parlementaires à voter un texte qu’ils ne comprennent pas, en service commandé, parce que Nicolas a décidé que… même si c’est une monumentale idiotie et que tout le monde le sent bien dans son fort intérieur.

Guillaume évoque cet effrayant billet de Streetpress dans lequel le sénateur Hérisson qui préside le groupe du Sénat chargé des communications électroniques, fait la démonstration de son incompétence crasse. C’est une véritable honte pour notre République, c’est indigne et c’est particulièrement indécent. Monsieur Herisson n’est pas à sa place à la tête de ce groupe et la moindre des choses après cette démonstration pitoyable, serait, au minimum, qu’il abandonne la présidence de son groupe sur les questions de communications électroniques. Il n’a manifestement strictement rien à y faire, même s’il le faisait bénévolement. Dans une entreprise, ce genre de boulette, c’est la porte ! Jugez sur pièce :

Pour HADOPI, la Neutralité des réseaux comme tout ce qui touche à l’écosystème du numérique, on assiste systématiquement à un flagrant délit d’incompétence doublé d’une ingérence… et ça c’est grave, c’est énervant, ça laisse un arrière goût d’injustice… c’est révoltant !

Le pire, c’est que ceci ne semble pas choquer grand monde. La politique en France aujourd’hui se résume à des courbettes devant l’hyper présidence. Mon grand père qui était député doit se retourner dans sa tombe. Le libre arbitre et le courage ne sont pas des valeurs dont la majorité de nos parlementaires peuvent se targuer. Ajoutez à ceci un muselage dans les règles de l’opposition et vous obtenez une République de la honte dont les valeurs sont devenues des produits d’exportation.

Heureusement, nous n’avons pas à avoir honte de tous nos parlementaires, il y a encore un soupçon d’espoir, et à ce titre je tenais à saluer le courage politique de Laure de la Raudière (UMP) qui fait un travail de fond assez impressionnant sur les questions du numérique qu’elle maitrise parfaitement (une ressource rare dans l’hémicycle), et qui a dernièrement eu le courage de proposer, contre l’avis de sa majorité, deux amendements, dont un de suppression, concernant les nouvelles dispositions sur le statut de Jeune Entreprise Innovante.

L’assemblée casse le statut Jeune Entreprise Innovante

envoyé par sauvonslesjei. – L’info internationale vidéo.

Billets aléatoirement en relation... ou pas:

• L’Europe souhaite encadrer l’exportation de ventes d’armes numériques
• Vers une HADOPI du Jihad ou le jour où Nicolas Sarkozy a baissé son pantalon face au terrorisme
• Gérard Longuet en VRP de la mort en Libye
• HADOPI : An interoperable and modular XML bullshit
• #SarkoCensure : Twitter se justifie de manière pitoyable et accentue sa censure

Je ne pensais pas avoir un jour à me poser cette question : faut-il que le législateur intervienne pour préserver un semblant de neutralité des réseaux ? J’ai plus de 15 ans de net derrière moi, mes Internets à moi se portent très bien et j’ai un peu de mal à me figurer que le fait que des politiques s’en mêlent puisse apporter quoi que ce soit de positif. Cette question m’est simplement venue au détour d’un tweet de Ludovic Penet (si vous ne le connaissez pas encore et que ces questions de neutralité vous intéressent, faites chauffer votre reader RSS, le monsieur sait de quoi il parle et il en parle très bien).

Tout est parti de ce billet où je revenais sur la réponse de CCIA à la consultation de l’HADOPI sur les moyens de sécurisation. Les poids lourds du Net (Yahoo, Google, Microsoft, Facebook…) mettaient les deux pieds dans le plat en contestant la légitimité de l’HADOPI dans sa mission toute neuve de sauver les internautes des méchants pirates qui utiliseraient leur connexion Internet pour downloader le dernier Lady Gaga. Dans ce billet, je m’amusais un peu de voir ces géants du Net se réveiller 2 ans après la bataille alors que Christine Albanel criait à qui voulait bien gober ses sornettes, que les accords Olivennes, à l’origine de la loi création et Internet, étaient issus d’un large consensus. Manque de bol, il semblerait que les principaux acteurs du Net (les internautes, les grosses entreprises du Net, ou encore l’ASIC) n’aient pas été invités à participer à ce large consensus… et oui, un consensus c »est toujours plus simple quand on est tous d’accord avant de commencer à causer… évidemment il y en a toujours un pour l’ouvrir mais quand on a une licence 3G à troquer, c’est assez simple de le faire plier. Le soucis c’est qu’une fois votée, il faut bien l’appliquer cette loi… et c’est là qu’on s’étonne de voir des entreprises, comme Google, Yahoo ou Microsoft, que l’on pensaient toutes « consensualisées à mort », fustiger de manière véhémente le produit direct de ce consensus… voilà pour le contexte.

La discussion de fond maintenant

Quand Ludovic a réagi à ce billet, il m’a fait remarquer que je soutenais implicitement une atteinte à la neutralité. Je n’aurais pas relevé si ceci ne venait pas de Ludovic. S’il dit ça, c’est qu’il y a forcément un fond de vérité et quelque chose aurait donc échappé à mon analyse… ok, creusons.

Attention, sur les questions de neutralité, Google, Microsoft et Yahoo ou Facebook ne sont certainement pas à mettre à la même enseigne. Quoi qu’on en dise, Google s’est toujours montré très respectueux de la neutralité du Net, et pour cause, c’est en grande partie grâce à cette neutralité que Google est devenu ce qu’il est… et que d’autres, un jour, pourront aspirer à le détrôner. A contrario, Microsoft a très longtemps mené une politique de fermeture, il aura par exemple fallu attendre 2010, pour que dans sa grande mansuétude, Microsoft se décide à faire un navigateur qui respecte les standards du W3C.

Ce que Ludovic voulait me faire remarquer, c’est que tout ce petit monde a forcément un intérêt à être contre toute régulation. Les sociétés privées ont envie de continuer à tenir les rennes, à innover et à… brider un peu à leur manière le Net pour diriger les utilisateurs sur leurs services et pas celui du voisin… Et oui, Ludovic à raison, mais je reste assez perplexe, quelque chose me chiffonne dans ce raisonnement…

Toujours est-il qu’en désignant HADOPI comme illégitime dans sa mission de spécification d’un logiciel de sécurité labellisé et créant une incitation légale à acheter tel dispositif plutôt que tel autre, la CCIA met le doigt sur une entrave à l’innovation et sur un petit soucis de distorsion concurrentielle assez intéressant. Or la CCIA oppose cet argument qui est de dire que dans une société qui se dit libérale, on laisse le marché faire, on ne lui impose pas de ligne directrice susceptible de nuire à l’innovation et d’entraver la concurrence. Je vois par exemple assez mal la HADOPI préconiser le pare-feu par défaut de Windows comme une solution fiable de protection, mais est-ce bien l’efficacité de la protection des utilisateurs qui est recherchée par la HADOPI ? N’est-ce pas plutôt la protection du droit d’auteur qu’elle cherche à protéger en incitant vivement l’utilisateur à installer un moyen de sécurisation ?

Alors on régule ?

Au moment où je suis en train d’écrire ces mots, je n’ai pas la réponse à cette question et bien malin celui qui peut m’en donner une parfaitement argumentée. En revanche j’ai quelques observations assez factuelles à formuler  :

• Premier constat : avant que les politiques ne commencent à y mettre leur nez, le Net fonctionnait très bien sans eux, ouvert et neutre, personne ne se posait d’ailleurs la question il y a une dizaine d’années, on bouffait du kilo-octet tout neutre et ça ne perturbait personne.
• Second constat : en France, TOUTES les lois qui concernent Internet ont eu pour seul effet (voulu ou pas) d’entraver son ouverture et sa neutralité au bénéfice de quelques uns et au détriment du plus grand nombre.
• Troisième constat : les atteintes à la neutralité sont jusque là du fait de deux entités, il s’agit soit d’états, soit de FAI (systématiquement du côté de ceux qui détiennent des infrastructures… en toute logique). Un état porte atteinte à la neutralité généralement pour de mauvaises raisons (fliquer ou materner sa population), les FAI, eux, le font pour des raisons économiques.

Il y a deux points capitaux qu’il semble donc de bon ton de dissocier :

• l’infrastructure (les tuyaux)
• et les services (le contenu).

Nous avons une particularité en France, c’est que ceux qui détiennent les infrastructures sont également éditeurs de contenus. Il est donc facile de comprendre, partant de là, qu’un opérateur préfère qu’on utilise SON infrastructure pour accéder à SES contenus plutôt qu’à ceux des voisins… et comme tous les éditeurs de services ne sont pas FAI, le rapport de force peut très vite tourner en la défaveur des entités qui ne possèdent ou n’ont accès à aucune infrastructure.

Je vois ici 3 issues possibles :

• On régule en interdisant aux FAI d’être éditeurs de contenus (on peut toujours rêver).
• On régule uniquement au niveau des infrastructures physiques, particulièrement si elles sont financées tout ou partie par des fonds publics. Il s’agirait d’inscrire dans la loi que n’importe quel acteur puisse accéder à ces infrastructures pour délivrer un service, qu’il soit local ou national. C’est de loin la solution la plus séduisante à mon sens et c’est surtout celle qui répond le plus intelligemment à cette problématique complexe.
• On ne régule rien du tout et on laisse faire.

De ce que j’ai vu en 5 ans d’acharnement des politiques pour tenter de briser cet espace de liberté qu’est Internet (à coup de filtrage, blocage, croisade contre l’anonymat, ou encore cette escroquerie intellectuelle du droit à l’oubli numérique) m’incite à penser qu’on ferait mieux d’attendre que certains de nos élus ne prennent leur retraite avant que l’on envisage de pondre une loi sur la neutralité du Net… au risque de se retrouver soit avec un texte qui n’a ni queue ni tête, à l’image d’HADOPI, soit avec une super occasion pour l’Elysée d’officialiser la fin en grande pompe d’un Internet neutre, outil indispensable à l’exercice de la liberté d’expression… pour paraphraser le Conseil Constitutionnel.

Un marché de la sécurité complexe

Il faut d’abord distinguer les solutions qui s’adressent aux FAI, aux grandes entreprises, aux PME, puis aux particuliers. On distinguera également les solutions matérielles des solutions logicielles… et les charlots des gens sérieux mais ce n’est pas trop le débat. Nous allons nous concentrer sur deux niches :

• Les solutions de sécurité ISP class : je parle ici de solutions, souvent matérielles (firewall/routeurs de service…), visant à prémunir le réseau des fournisseurs d’accès d’attaques diverses (dénis de service, vagues de spam, propagation de vers…). Ici, les solutions dites de Deep Packet Inspection ont une utilité certaine car elles servent le bon fonctionnement du réseau en luttant contre des attaques susceptibles de le perturber. Concrètement, des sondes ou des routeurs de services reconnaissent les signatures des attaques et stoppent leur acheminement. Le marché du DPI représente à horizon 2013 environ 1,5 milliards de dollars à lui tout seul. Un routeur de service capable de traiter un flux terabit coûte entre 120 et 250 000 euros. Là si vous m’avez bien lu, vous devez comprendre tout de suite que tout ce qu’on raconte sur le DPI est entièrement faux… fliquer toute le population française ne reviendrait certainement pas des centaines de millions d’euros… à la louche ça doit coûter entre 10 et 15 millions d’euros, à peine la moitié de ce que le gouvernement vient de mettre dans la carte musique jeune.

• La sécurité des particuliers : là par contre, il faut bien l’avouer, c’est le Far West. L’offre se concentre principalement autour d’un système d’exploitation, Microsoft Windows qui en bon leader est le plus attaqué. Et sur Windows, on trouve de tout : antivirus, firewall, solutions de contrôle parental, solutions anti fishing… Open Office …. De ces solutions nous en retiendrons principalement 2 vu que toutes les autres peuvent être remplacées par un usage simple du cerveau (user side). Nous conserverons donc l’antivirus et le firewall. L’antivirus étant par définition utile quand c’est déjà trop tard (une fois que la machine est infectée), il nous reste le firewall qui contrôle ce qui rentre et ce qui sort de la machine.

Ici, on s’interroge donc sur quel(s) type(s) de solution(s) la HADOPI va pouvoir jeter son dévolu. Procédons de manière simple en nous remémorant ce que stipule le texte de loi : « moyen de sécurisation de l’accès Internet« … et ben on est pas dans la merde. On ne vous demande pas de sécuriser votre ordinateur, ni votre box… mais votre « accès Internet ». Si l’HADOPI veut prendre le texte au pied de la lettre, je vois assez mal comment elle pourrait ne pas se laisser tenter par compléter le dispositif de sécurisation situé chez l’utilisateur par un autre dispositif, placé sur le réseau de l’opérateur, et qui viserait à « dépolluer » l’Internet ou policer les internautes.

La CCIA s’inquiète donc à juste titre car de tels outils, par exemple à l’échelle d’un cloud ou pour du du Software as a Service (SaaS)… on a beau jurer par tous les grands dieux que le filtrage  que c’est totalement transparent… et bien permettez moi d’en douter. Jean-Paul Smets de la société Nexedi a déjà mis en garde à ce sujet après une expérience grandeur nature contre son gré, suite à la mise en place d’un filtrage par Eircom en Irlande : “il y a deux semaines environ, nous avons constaté que l’accès aux serveurs d’application en France s’était dégradé de façon inimaginable pour l’un de nos clients situé en Irlande. Nous sommes ainsi passé d’un temps d’accès de 1/2 sec à 4 sec.” (…) “Ce que nous avons remarqué, c’est que cet incident est arrivé au même moment que le filtrage mis en place par le fournisseur d’accès Irlandais Eircom que notre client utilise” .

L’invective de la CCIA me semble donc parfaitement légitime, ce qu’elle demande c’est un laissé faire, mais là où je vais rejoindre Ludovic, c’est qu’il ne faut pas non plus que ce laisser faire se transforme en laisser aller.

La vaste escroquerie des services gérés.

Après des années années de « ranafout’ » voici que les fournisseurs d’accès s’intéressent maintenant à l’acheminement de communications prioritaires. Et là comment vous dire ça sans ménerver… cette histoire de services gérés qui nécessiteraient l’usage d’outils comme le QoS et le trafic shaping afin de préserver l’usage d’un service (dans 99,99% des cas, payant) au détriment d’autres services (dans 100% des cas gratuits oui dans lesquels le FAI n’a rien à gagner), est dans certains cas une splendide escroquerie intellectuelle. Si pour l’Internet filaire on ne rencontre pas encore de manifestations inquiétantes de FAI trop zélés, il en est tout autrement sur les services d’accès à l’Internet mobile

Non vous ne me ferez pas croire qu’il est nécessaire, sur le réseau d’un opérateur mobile, de filtrer la voix sur IP ou que le surf en tethering, sous prétexte que cela consomme de la bande passante et met en danger le bon fonctionnement d’un réseau 3G. La vérité est toute autre, si la VOIP ne fonctionne pas c’est que l’opérateur mobile est avant tout un opérateur téléphonique qui se rémunère à prix d’or sur un réseau qui ne lui coûte quasiment rien. Ce même opérateur, pour que vous puissiez utiliser votre navigateur de votre ordinateur en 3G, préfère évidemment que vous achetiez chez lui une clef 3G avec un abonnement dédié alors que votre téléphone peut tout à fait remplacer votre clef 3G. Bref, ces opérateurs se foutent complètement de vous. Pas convaincus ? Alors expliquez moi pourquoi tous proposent  des abonnements mobiles GSM/3G /EDGE (aux environs de 2 fois le coût d’une connexion ADSL) qui vous proposent de la TV en illimité sur les réseaux 3G. La vidéo, streamée est évidemment bien plus consommatrice de bande passante que surfer sur le web en tethering. En aucun cas le fait d’assurer une qualité de service ne saurait justifier le bridage de la voix sur IP ou du tethering. Il s’(agit d’une atteinte manifeste à la neutralité des réseaux et en plus, les opérateurs se payent le luxe d’appeler ça de l’Internet illimité (une situation qui en pratique ne change pas vraiment depuis les déclarations de bonnes intentions à l’issue du colloque de l’ARCEP.

Un traitement de faveur pour le DPI ?

A l’heure actuelle de nombreux opérateurs expérimentent ou utilisent le DPI pour manager leur réseau, ceci est un usage correct de ces technologies, mais pour franchir le cap de la discrimination des contenus et des services de tiers, il n’y a qu’un pas. Et pour ne pas le franchir, il faudra que le législateur se prononce. Le seul hic, c’est que je le vois très mal dire aux FAI de ne pas détourner l’usage du DPI à des fins de discrimination des contenus du voisin si par malheur il autorisait aux ayants-droit un usage contre nature de ces mêmes outils à des fins de reconnaissance des contenus pour nettoyer Internet des contenus dit illicites car soumis à droit d’auteur. Et comment déterminer si un contenu est illicite ? C’est simple, il suffit par exemple de dire que tout mp3 sur un réseau P2P est illicite, que tout fichier vidéo entre 650 et 720 Mo est un divx piraté… C’est donc la négation parfaite d’une exception au droit d’auteur, le DPI se fichera bien de faire la différence entre un divx mal acquis et un divx légalement acquis et encodé par son propriétaire qui transite sur le réseau pour que ce dernier puisse par exemple le visionner sur son lieu de vacance. Tout fichier est suspect, tous les internautes sont coupables…

Conclusion

Oui, il faudra que le législateur intervienne (et ce n’est pas fait pour me réjouir) en se prononçant sur la neutralité des infrastructures. Une concurrence locale accrue est une bonne garantie, les petits acteurs pourront surveiller les gros et plus nombreux seront ces acteurs, plus le service gagnera en qualité et plus nous aurons des chances de conserver un Net ouvert et neutre. Autre effet bénéfique, les collectivités ne se trouvant pas en zone assez denses pour que les « gros » opérateurs ne daignent s’y établir, auront le loisir de confier des délégations de service public à des acteurs locaux, impliqués au sein de leur région, de leur département, et même de leur commune… tout le monde a donc à y gagner et c’est même peut-être là l’occasion de rattraper notre retard dans l’accès au très haut débit.

Il me semble aussi impératif de fixer légalement des limites à l’usage de technologies de Deep Packet Inspection et d’inscrire dans la loi que ces dernières ne doivent en aucun cas servir à des fins de discrimination, ni a toute pratique susceptible de violer les correspondances des utilisateurs du réseau. En pratique, je doute que le moment soit opportun car je n’ai qu’une confiance très limitée en notre représentation nationale pour comprendre toute la mesure des enjeux de ces questions, et je crains fort que nos députés et sénateurs ne se limitent à une vision franco française d’une problématique de nature internationale dont les enjeux sont capitaux pour notre compétitivité à l’international.

/-) Un énorme merci au channel IRC de FDN

Billets aléatoirement en relation... ou pas:

• HADOPI : An interoperable and modular XML bullshit
• HADOPI : son pire échec
• 20 Minutes n’a pas tout compris à HADOPI
• Copwatch : le fiasco de Claude Guéant
• HADOPI : Pascal Nègre défend son bébé

Assemblée Nationale

Jean-Marc Ayrault, Député -Maire de Nantes et président du groupe socialiste, radical, citoyen et divers gauche, dans un courrier adressé à Mme M. Françoise Marais (téléchargeable ici au format pdf) , présidente de la HADOPI, s’étonne que les députés de son groupe soient sollicités par la Haute Autorité sur des questions relatives à la communication alors que de nombreuses questions d’ordre juridique restent en suspend.

Il semble que la Haute Autorité ait sollicité les députés (et c’est tout à son honneur) de l’opposition (et surement pas qu’eux) en leur soumettant un questionnaire.

Je vous ai souvent parlé des carences démocratique pendant les débats… et bien ça n’a pas manqué, après que les internautes, puis la presse, aient maintes fois souligné que la Haute Autorité ne pouvait jouir d’une légitimité reconnue après ces parodies de débats parlementaires où toute opposition a savamment été muselée… voilà que les députés s’y mettent. Et ils ont bien raison ! Combien de questions de parlementaires sont encore sans réponse ? PCinpact a dressé un inventaire et c’est franchement pas très beau à voir.

Le député Ayrault qui s’exprime au nom du groupe parlementaire, n’y va pas avec le dos de la cuillère : il rappelle que le délit de négligence caractérisée est intimement lié, par le décret 2010-695 du 25 juin 2010, au fait de ne pas avoir mis en place un dispositif de sécurisation de l’accès Internet, ce qui n’a pas empêché la HADOPI d’envoyer sa première vague d’email de « recommandation ». Pour ceux qui n’ont pas suivi, le mail de la HADOPI recommande à l’Internaute de sécuriser sa connexion Internet en se gardant bien de lui dire comment ou encore ce qu’elle entend par connexion Internet… et oui, c’est l’un des « petits bugs » du texte de loi. Jean-Marc Ayrault s’intéroge « des logiciels capables de sécuriser totalement un accès Internet existent-ils réellement ?« … et paff ! Il est évident qu’aucun logiciel de ce type n’existe… et n’est pas prêt d’exister… il y en a bien un qui a essayé, une entreprise du nom de Tegam qui vantait son antivirus capable de bloquer « même les virus qui n’existent pas encore »… et bien devinez quoi ? Un jour Tegam a croisé la route d’un certain Guillermito… puis du coup, Tegam n’existe plus.

La suite du courrier est succulente, le député Ayrault souligne que l’offre légale se fait toujours attendre et nous rappelle au passage que les offres légales seront « labellisées » pffffft krkrkrk… veuillez m’excuser, c’est nerveux, j’étais juste en train de m’imaginer un beau logo « HADOPI compliant, 100% warez Free » sur le site de la FNAC. Il en profite également pour s’interroger sur le coût de la carte musique jeunes.

Toujours sur les questions budgétaires, le député Ayrault revient sur les 12 millions accordés dans la loi de finance 2012 à la Haute Autorité, il rappelle que le budget initial au vote était de 6,7 millions. En toute logique, ce budget pourrait encore augmenter, car on ne le dit pas assez, mais civiliser Internet… ça coûte cher. En outre le député se demande où en sont les négociations avec les fournisseurs d’accès Internet concernant le dédommagement des frais liés à l’identification des internautes (et ça on risque d’en entendre reparler dans peu de temps).

Le député Ayrault manifeste aussi son intérêt, et celui de ses collègues, sur la volumétrie des envois de mails. Et là comment vous dire… le député fait mouche. Il a de nombreuses fois pendant les débats, puis dans la presse, été question d’envoyer 10 000 mails par jour, soit 3,65 millions de mails par an. Dans une hypothèse  d’un coût de 1,5 euros par identification, ça nous fait quand même du 5,47 millions par an. Autant vous dire que si la HADOPI compte envoyer 10 000 mails par jour et qu’elle se résigne à payer les FAI pour ces identifications, elle va ruiner le contribuable. Pour moi, ce chiffre de 10 000 mails par jour, c’est du flanc, destiné à faire peur. Pour tout vous dire, si je reçois un mail HADOPI, je file aussitôt au PMU du coin remplir une grille de lotto.

Pour conclure, le groupe socialiste rappelle que comme prévu, HADOPI ne rapporte pas un centime de plus aux créateurs, et c’est donc bien que le vote même de ce texte se fondait sur un postulat de départ erroné… ou disons le carrément, un mensonge. D’ailleurs le député Ayrault s’interroge sur la liste des oeuvres protégées et comme lui, je serais curieux de savoir combien d’indépendants (des vrais, pas des filiales de majors) sont surveillés par les radars de TMG.

Tout semble indiquer que Nicolas Sarkozy ait confondu la filière disque avec le terme « création ». Le vrai nom de la loi « Création et Internet » serait en fait « filière disque et Internet ».

Billets aléatoirement en relation... ou pas:

• L’Europe souhaite encadrer l’exportation de ventes d’armes numériques
• Vers une HADOPI du Jihad ou le jour où Nicolas Sarkozy a baissé son pantalon face au terrorisme
• Gérard Longuet en VRP de la mort en Libye
• HADOPI : An interoperable and modular XML bullshit
• #SarkoCensure : Twitter se justifie de manière pitoyable et accentue sa censure