HADOPI : tu sécurises ou tu fliques ?

Au détour d’un commentaire lu sur Numérama en référence à l’amalgame volontairement fait dans ce billet entre la « sécurisation d’une connexion Internet » et la « sécurisation d’un site web », j’ai pu me rendre compte de l’efficacité de la propagande menées par le Ministère de la Culture… ils ont réussi à mettre un sacré bazar dans nos cerveaux. Je me suis donc essayé à un petit exemple fictif pour illustrer un fait : le dispositif prévu dans le texte de loi n’est pas fait pour sécuriser, mais bien pour fliquer.

Je vais donc reprendre ici cet exemple, une fiction pour le moment mais je suis prêt à vous parier que si le texte était en l’état appliqué au pied de la lettre, la réalité pourrait même dépasser la fiction. C’est l’une des raisons pour lesquelles j’expliquais l’année dernière sur TechToc.tv que nous avions déjà gagné et qu’HADOPI telle que nous la connaissons ne sera probablement jamais appliquée car comme le dit l’adage : à l’impossible nul n’est tenu. Et l’impossible, c’est justement sécuriser une connexion Internet, ce qu’on essaye de nous faire passer pour une obligation légale. Maître Capello ? Pas mieux que trois lettres ? L.O.L.

Voici le commentaire qui a motivé ma réponse :

« C’est quoi le rapport entre la non-sécurisation de sites Internet et la sécurisation de la ligne d’un abonné à Internet pour empêcher les téléchargements illégaux ?
Ah oui, il y a le mot « sécurisation » dans les deux parties de la phrase. Donc de manière simpliste, on fait un raccourci : du moment qu’ils ne sécurisent pas leurs sites, alors ils ne peuvent pas nous demander de sécuriser nos lignes. Alors que les techniques, les moyens et les enjeux n’ont strictement rien à voir.
Bien évidemment qu’une base SQL non protégée sur un site gouvernemental, ce n’est pas très sérieux. Mais quel est le rapport avec Hadopi et ses dispositions législatives ? Ce n’est pas parce qu’ils sont en faute que cela vous dédouanne d’appliquer la loi ! »

Notez que ce n’est pas le seul de ce cru, j’ai même pu en lire sur Read Write Web ou d’autres sites, ce qui justifie à mon sens une explication dont le but sera de dépoussiérer quelques notions et faire un peu le ménage dans les idées stupides que notre bon législateur a tenté de vous mettre dans le crâne (et il y est dans de nombreux cas parvenu).

Les faits

  • La loi Création et Internet mentionne une contravention pour non sécurisation d’une connexion Internet, sans pour autant définir le périmètre précis (essayez vous au Quizz, vous allez vite comprendre que juridiquement nous sommes là en face d’un concept particulièrement fumeux).
  • Pour que les données d’un serveur web soient accessibles il faut ? … une connexion Internet.
  • Pour qu’une machine se fasse compromettre, généralement, sur le Net, il faut … une connexion Internet et une vulnérabilité exploitable à distance (allant de l’utilisateur lui même qui ira cliquer sur un « i love you.exe jusqu’à une faille kernel… et entre ces deux extrêmes… il n’y a pas de limites.
  • C’est justement parce qu’entre ces deux extrêmes les limites n’existent pas, qu’AUCUNE solution logicielle de sécurisation au monde ne protègera jamais les utilisateurs de l’intégralité des risques liés à la nature du réseau… et à la nature du cerveau humain. Affirmer le contraire serait une bêtise.

La fiction

Une entreprise x dispose d’un extranet, son robots.txt indique un répertoire sensé être protégé qui ne l’est pas (au pif avec un beau .sh qui affiche en clair le mot de passe de la base de données Oracle du dit extranet). Un pirate y accède et pénètre l’extranet de l’entreprise, par escalation de privilèges ou en dumpant la base de données, il en prend le contôle de tout le réseau local de l’entreprise. Pour ce faire, rien de plus simple, avec un petit coup de dsniff, il s’empare de tous les mails du serveur de mail Exchange (assez pratique pour se faire renvoyer les passwords non ?), il a tous les mots de passe, tous les accès… voici un scénario malheureusement dramatiquement réaliste d’une compromission.

Puis, il se trouve que l’entreprise en question a une super bande pasante, du 100megas symétriques. Le pirate decide donc de se servir du NAS pour se faire sa médiathèque en ligne qu’il consulte en streaming via un flux chiffré sur un port non standard. Pour télécharger, il s’installe un client torrent en mode console, bien planqué là ou personne ne va jamais fouiller … dans le /opt par exemple.
La HADOPI envoie un mail que l’entreprise ne reçoit pas car elle ne le lit jamais, d’ailleurs, dans l’entreprise, personne ne sait si ce mail existe (le mail d’inscription utilisé pour ouvrir la connexion Internet chez le fournisseur d’accès).

A la réception du courrier recommandé (l’étape 2 de la procédure super pédagogique prévue par le texte), l’entreprise débusque le pirate sur son réseau mais n’a pas compris par ou il est arrivé. Elle supprime donc l’utilisateur ou change le mot de passe du compte utilisé par le pirate. Mais, souvenez vous, comme le pirate a dumpé la base de données et qu’il a récupéré des centaines de mots de passe en sniffant le réseau local de l’entreprise… et que l’entreprise n’a pas changé TOUS les passwords, notre pirate, pas décidé à abandonner sa connexion très haut débit depuis le fin fond de la Lozère, revient… puis un jour, après plusieurs incursions, un recommandé, et 3 audits internes (il faut pas que ça s’ébruite ce genre de choses vous comprenez, ça affolerait les clients de notre entreprise), l’entreprise se retrouve déconnectée du net.

Même l’Hadopipohardware, le Firewall Zyxel, acheté par l’entreprise et qui promettait une protection idéale contre HADOPI en filtrant les applications de peer to peer n’a rien vu venir.

Tout le système d’information de l’entreprise est donc rendu inaccessible depuis l’extérieur et ses salariés sans connexion dans les locaux se retrouvent au chômage technique.

Comme une circulaire de la chancellerie indique que tout cas un peu compliqué ne devra surtout pas être envoyé devant un tribunal… et que même si c’était possible la connexion est déjà coupée.. et que l’entreprise n’a pas le droit de souscrire à une autre offre… l’entreprise ferme ses portes et fait faillite incapable d’honorer une communication basique avec ses clients. Il reste le télétravail et peut être aller faire les rendez-vous clients au Mc Donald du coin.

Que nous apprend cette petite histoire ?

Il s’agit d’un constat évident, que malheureusement trop peu de personnes semblent avoir assimilé :

  • La sécurité ce n’est pas un produit mais ensemble de processus
  • HADOPI propose l’élaboration de solutions de « sécurité » dont la fonction n’est pas de prévenir de risques d’intrusion externes mais bien de fliquer des usages internes… ce qui inéluctablement conduit à un risque sécuritaire, c’est à dire, tout le contraire de ce qu’on tente de vous vendre.

Pour vous faire passer des vessies pour des lanternes, notez qu’il aura fallu :

  • 577 gus dans un hémicycle (en théorie), beaucoup moins en pratique
  • 2 HADOPI
  • un recallage au Conseil Constitutionnel
  • un site web de propagande à 80 000 euros pour 1 mois d’uptime (jaimelesartistes.fr)
  • la machine à spam la plus chère du monde…

… j’ai donc encore beaucoup de route à parcourir pour expliquer ça à qui veut l’entendre, je n’ai pas les mêmes moyens que ceux déployés par l’Etat, mais aidé par quelques gus, nous devenons tous des créateurs de possible… non ?

29 réponses sur “HADOPI : tu sécurises ou tu fliques ?”

  1. Je croyais que les entreprises allaient être épargnées justement pour éviter les situations que tu décris dans ton article. L’Hadopi, c’est comme les radars, tout le monde va chercher à faire le plus d’argent possible, ou plutôt à en perdre le moins possible, en s’attaquant aux cibles faciles que sont les particuliers.

      1. je ne pense pas qu’il soit nécessaire de répondre in extenso à un procès d’intention, en outre le billet ci-dessus défriche déjà quelques zones d’ombres soulevées par Pierre Caron dans son billet. Sa conclusion m’intrigue et rien que pour ça j’aimerais vraiment avoir l’occasion de m’entretenir avec lui sur l’obligation sécurisation des données personnelles qu’il souhaite faire peser sur les particuliers… c’est assez proche de ce que défendait Christine Albanel avec son firewall Open Office, mais venant d’une personne si éclairée que lui, je dois avouer que ceci me laisse pantois.

  2. J’ai noté 3 petites coquilles en lisant rapidement :
    « comme le dit l’adage : à l’impossible nul n’est tenu dit l’adage. »
    « Pour vous faire psser des vessies pour des lanternes »
    « Tout le système d’information de l’entreprise est onc « 

  3. Effectivement comme le dit Romain enter/videoclub est un troll inside de compète, dont l’affligeante réputation n’est plus à faire.

    Néanmoins ton explication est des plus bienvenues pour en finir , soit avec les arguties spécieuses ( et incompétentes ) de ce genre d »individu, soit pour détailler par l’exemple concret ,les tenants et aboutissants du labyrinthe fumeux hadopiesque aux personnes de toute bonne foi ,honnêtement perdues ( et on les comprend ô combien quand on voit le fatras d’inepties cumulées…).

    Firewall openoffice FTW… /sigh

    1. Je ne connais pas trop les habitudes sur numerama de ce Romain, mais le principe pour un troll réussit de l’argumenter sérieusement pour le défendre. Je n’y ai donc pas vu un troll mais une divergence d’opinion, une lecture differente de ce que nous lisons et voyons…

        1. Attention, je doute que Malaga et Videoclub soient la même personne. Il y a trop de différences dans le style. Par contre Malaga/Enter/Zabre, oui, c’est évident.
          Videoclub est, comme son nom l’indique, un gérant de videoclub 100% pro-hadopi tandis que Malaga n’est qu’un troll qui prend systématiquement le contre-pied de ce qui est dit juste pour se rendre intéressant.

  4. Au delà de la sécurisation, ce que révèle ce genre de commentaire (et qu’il vienne d’un troll célèbre ne change rien au problème), c’est que dans l’esprit de la majorité des gens, internet est asymétrique. Il y a les serveurs d’un côté et les utilisateurs du minitel webesque de l’autre.

    Tant que cet état d’esprit durera (et toute la comm actuelle y aide pas mal), il sera difficile de faire passer un message objectif sur la réalité du net, que ce soit en terme de sécurisation ou autre.

  5. Le scénario que tu proposes, pour fictif qu’il soit n’en est pas moins effrayant.
    Le bon coté de la chose, est que les entreprises vont -peut être – commencer à réfléchir sérieusement à sécuriser leur infrastructure.
    Des marchés vont s’ouvrir pour les boites qui font de la formation d’utilisateurs, et de la maintenance technique.

    Un mauvais coté, est que les solutions Hadopipoware vont se multiplier, et comme toutes les entreprises ne sont pas doté de manière égale en matière de responsable informatique, les branquignols ont également de beaux jours devant eux.

    Bref, le bordel… !

    1. Le problème avec la sécurité c’est que ce n’est pas un seul utilisateur qui la fait, mais par contre un seul utilisateur défaillant et tout est à refaire. Je ne pense pas que toutes les entreprises vont adopter des mesures drastiques comme il peut y en avoir à la DGSE, au Ministère de la Défense, Thalès ou autre.

      Je vois que dans l’entreprise ou je travaille tout le monde s’en fout de la sécurité informatique car ils ne pensent pas qu’ils puissent être victime d’une attaque. Si en plus, on couple ça avec le fait que certains sont fans de téléchargement au boulot on arrive à un risque non négligeable.

      1. Humm…

        Quand tu parles des mesures de sécurité au MinDef, tu parles des DNS dont la mise a jour date de 1996 ? des ordis accessibles sans restriction en telnet (et oui…) ou des mots de passe standards qui trainent un peu partout sur le réseau ?

        Ha, ou alors peut etre des acces intradef et internet sur le meme poste de travail windows, sans antivirus installé ?

        J’avoue etre un peu perdu a force de constater ce genre de choses…

        Mais oui, des marchés vont s’ouvrir… C’est certain, a commencer par le plus sympathique, refaire tout le net gouvernemental…

    2. Il n’es pas si fictif que cela. J’ai pour ma part constaté ce genre de soucis sur un site pourtant destiné à l’origine à faire des examens.

      Du coup, après avoir un peu rigolé, on a quand même alerté les gérants du site qui ont pu le corriger, mais ce genre de choses est loin d’être un cas isolé.

  6. Pour ma part, je comprend le besoin de s’expliquer. Déjà qu’en France les entreprises n’apprécie que peu qu’on les informe que leur SI est un gruyère. (Voir les différents démêlé de Zataz)

    Le gros soucis avec cette loi, c’est qu’ils ont dit beaucoup de chose, mais écrit très peu. On se retrouve donc dans un flou artistique où justement, c’est le juge qui fait tout.

    Depuis cette directive concernant le fait de faire confiance au missive des agents des ayants droit, c’est carrément le bordel.

    Pour les entreprises, c’est OK. Si un employée pirate, il suffit de dire que l’entreprise a un besoin absolu de la connexion pour assurer son fonctionnement et c’était bon. Au pire, elle paye l’amende.

    Mais là, il se pourrait que les entreprises se trouvent dans des situations plus complexe vue qu’on demande aux magistrats de ne pas trop chercher à comprendre. (Ou comment transformer des années d’étude de droit à un simple « signer le papier s’il vous plait. »)

  7. Un autre son de cloche mais qui vient au même conclusion:
    « Les entreprises aiment investir dans les infrastructures, les serveurs, mais il est encore plus important d’investir dans l’humain : avoir des salariés qui comprennent ce qu’est la sécurité informatique, et qui sauront distinguer un comportement normal ou anormal dans les échanges de données, c’est fondamental. »
    http://www.lemonde.fr/technologies/article/2010/09/13/les-cybercriminels-aussi-cherchent-un-retour-sur-investissement_1410613_651865.html

  8. pourquoi le premier mail d’avertissement ne serait pas lu ?
    encore un article orienté, à charge enfin nul quoi
    c’est vraiment une non démonstration

    1. Le mail ne serait pas lu car il serait envoyé à l’adresse qui a servi à l’ouverture de la ligne. Alors chez Mr toulemonde, chacun le connaît, en entreprise c’est bien moins sûr. De plus le « pirate » assez malin le détournerait pour prolonger son accès…

  9. C’est clair que ce n’est pas de la fiction. Et je crois que je ne risque pas trop de me tromper en disant que, ça, c’est la majorité des cas.

    Déjà que le minimum n’est pas fait, ce n’est pas en coupant Internet que ça va arranger les choses. Au passage, je me demande même si ça ne va pas en dissuader certains de s’occuper de ce genre de choses dans leur entreprise, de peur d’être mêlés à ces histoires, d’être accusés de pirate, etc.

    Mais je me demandais aussi, avec la réponse de Frédéric Mitterrand un jour (si je ne me trompe), de ce qui va se passer pour ceux qui auraient deux connexions Internet. En supposant qu’une seule connexion soit accusée de « piratage », qu’est-ce qui va se passer ?

    Et puis, même en ayant ce qui se fait de mieux, ça n’écarte pas le risque d’être inquiété ! Rien que le fait d’avoir eu une adresse IP, et de se la faire usurper… non, même pas en fait, en se faisant usurper tout simplement son identité aussi ! C’est ça, en fait, tout le monde peut avoir des soucis avec la Hadopi, sans exception !

  10. La négligence caractérisé ça veut dire une légère faute pour la négligence et par caractérisé qu’elle est vraiment légère. Donc, de risquer une prune de 1500 € pour ça, ce n’est pas donné !
    Mais le décret dit [quote] Le chapitre V du titre III du livre III de la partie réglementaire du code de la propriété intellectuelle est complété par un article R. 335-5 ainsi rédigé :
    « Art.R. 335-5.-I. ― Constitue une négligence caractérisée, punie de l’amende prévue pour les contraventions de la cinquième classe, le fait, sans motif légitime, pour la personne titulaire d’un accès à des services de communication au public en ligne, lorsque se trouvent réunies les conditions prévues au II :
    « 1° Soit de ne pas avoir mis en place un moyen de sécurisation de cet accès ;
    « 2° Soit d’avoir manqué de diligence dans la mise en œuvre de ce moyen.
    « II. ― Les dispositions du I ne sont applicables que lorsque se trouvent réunies les deux conditions suivantes :
    « 1° En application de l’article L. 331-25 et dans les formes prévues par cet article, le titulaire de l’accès s’est vu recommander par la commission de protection des droits de mettre en œuvre un moyen de sécurisation de son accès permettant de prévenir le renouvellement d’une utilisation de celui-ci à des fins de reproduction, de représentation ou de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise ;
    « 2° Dans l’année suivant la présentation de cette recommandation, cet accès est à nouveau utilisé aux fins mentionnées au 1° du présent II.
    « III. ― Les personnes coupables de la contravention définie au I peuvent, en outre, être condamnées à la peine complémentaire de suspension de l’accès à un service de communication au public en ligne pour une durée maximale d’un mois, conformément aux dispositions de l’article L. 335-7-1. »[/quote]
    Ou l’on voit que les sites en forme de gruyère sont bien concernés par la négligence caractérisée lorsque les milices vont relever les ip de ces sites soit parce que l’on s’en sert pour des téléchargements de fichiers sous droits non permissifs, soit que seedfuck donnera cette ip comme susceptible de le faire. Donc la réflexion du troll de compétition de numérama est une idiotie comme il en distille a longueur de journée sauf que l’on en a plus l’habitude que le maitre ici céans.
    Sa réflexion permet juste de préciser ton cheminement de pensé, mais a aucun moment les gens un peu au courant doutait qu’il n’y avait pas de rapport, doutaient les niais ou ceux que ça dérange justement. La question reste pourquoi cela les dérangent-ils, mais ils ne répondront pas, comme d’habitude.

  11. la négligence dans l’obligation de sécurisation est un délit. concrètement, il s’agit pour le titulaire de la ligne d’empêcher, la réalisation d’une atteinte au droit d’auteur par quiconque, un tiers ou lui même.
    Il s’agit donc d’empêcher la réalisation d’un délit….et ça c’est la mission de la police nationale, pas du citoyen lambda.
    Même, la loi va vous sanctionner car vous ne vous êtes pas comporter comme un flic; imaginer que les policier soient sanctionner dès que quelqu’un braque un banque. Tous les policiers seraient en prison pour défaut de sécurisation des biens d’autrui.

  12. Je sais pas si c’est trop l’endroit pour parler de ça, mais qu’est ce que vous proposez pour lutter contre les cyber-criminels ?

    Est ce que des campagnes de sensibilisations seraient suffisante combinées à une plus grande attention de la part des administrateurs des dis sites ?

    Je doute qu’une solution technique puisse un jour satisfaire tout le monde, au risque d’investir dans un dispositif qui sera vite depassé. Ou de supprimer une grande part de liberté qui nous tient tant à coeur sur internet.

  13. Merci pour cette explication, maintenant cela est beaucoup plus clair.

    @Fabien : Il y a aucune solution miracle, car une solution technique va amputé certaine liberté, et puis une campagne de sensibilisation, je doute que cela fonctionne. Dans le monde réel, il y a des criminels et nous n’avons toujours pas trouvé de moyen efficace pour lutter.

  14. Salut bluetouff, ROOTBSD, à déjà évoquer ce sujet sur hacbbs.org, comme beaucoups sont passionnés par le sujet, je vais mettre à la suite un lien vers cette discution.

    Cordialement. NETTOYEUR25.

  15. Bluetouff, c’est sympa de vouloir vulgariser un sujet que la plupart des gens ne comprennent pas, mais il aurait peut-être suffit de dire qu’installer un Troyen dans son ordinateur pour le sécuriser est juste une aberration monumentale !

    Si vous avez suivi un tant soit peu l’actualité et les frasques de l’affaire Bettencourt (…) et tous les précédents scandales sur les écoutes téléphoniques, il suffit d’imaginer (oui les français ont du mal avec l’imagination, je sais…) que l’espion imposé par Hadopi va permettre de mettre sur écoute permanente votre ordinateur et tout périphérique qui lui serait relié aussi facilement qu’une écoute téléphonique.

    L’espion Hadopi, ca me fait penser un peu à la série True Blood bizarrement : les vampires ne peuvent pas entrer chez vous si ne vous les y invitez pas…je sais je délire un peu 🙂

    En résumé, on demande aux français (ceux qui seraient « victimes d’un piratage pour pirater »…lol) de se brancher gentiment chez les flics du Net…A eux de voir. Perso, je ne pirate pas, je crypte en SSL 256bits sur un VPN étranger et je « dédiboxise mon accès… », je leur souhaite bien du courage…mais j’avoue que de devoir se transformer en apprenti-terroriste, citoyen chinois ou pédophile (attention, pas d’amalgame, je parle juste des protections qu’ils pourraient employer pour éviter la surveillance) dans un pays démocratique me donne juste la nausée, me révolte.

    Après, ils comptent faire quoi, s’il est avéré que vous avez été piratés? Porté plainte chez Microsoft, Linux, Apple…les développeurs de chipset réseau, de firewalls d’antivirus pour vice de fabrication? ON CROIT REVER !! Rien de tout ça effectivement.

    IL NE S’AGIT PAS DE PROTEGER LE CITOYEN COMME TU LE DIS MAIS BIEN DE LE SURVEILLER…..Orwell has never been so close!

  16. Je rebondis sur un article du monde http://bugbrother.blog.lemonde.fr/2010/05/14/55-000-webmails-piratables-sur-les-sites-gouvfr/ pour enfoncer le clou. Un moteur de recherche permet de trouver le nombre de comptes webmail avec un nom de domaine gouv.fr
    Certains webmails sont toujours piratables avec des failles injection SQL, notamment celui du DICOD
    http://webmail.dicod.defense.gouv.fr/alinto/login.php3?reason=logout&retry=1
    Un essai montre qu’il n’y a pas de sanitisation des quotes et renvoie un joli message « you have an error in your sql syntax »

Répondre à Robot Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.