François Loos : Monsieur le député … MERCI !

Malgré mon discours souvent radical concernant les questions qui touchent à HADOPI et plus globalement aux atteintes à la Net Neutrality, je n’ai jamais douté qu’il y avait quelques personnes sensées dans Image 2l’hémicycle. Il y a bien évidemment nos valeureux mousquetaires. Du côté de l’UMP (et affiliés), les députés Tardy et Dupont Aignan n’ont pas été avares d’efforts pour faire entendre raison au Ministère de la Culture dans son délire Orwellien aussi juridiquement incohérent que techniquement absurde, masquant mal l’incompétence des uns ou la cupidité des autres.

Petite bouffée d’oxygène, le député UMP François Loos vient de sommer le Ministère de la Culture de donner des explications sur le délit de négligence caractérisée.

« A ce jour, constate le député, les installateurs de réseaux informatiques sont bien en peine de conseiller leurs clients, ne sachant pas quels sont les éléments constitutifs de cette infraction. Pour l’instant, et tant que les décrets d’application ne seront pas publiés, les pratiques antérieures peuvent encore avoir cours. Mais dès la publication de ces décrets, un certain nombre d’installations ne seront plus conformes à la loi, alors que très récentes. Dans ces conditions, non seulement l’installateur ne peut pas remplir son obligation légale de conseil dans la vente, mais en plus, le client va payer de grosses sommes pour une installation obsolète d’un moment à l’autre« .

« Ne pensez-vous pas qu’il serait souhaitable de clarifier au plus vite cette situation, qui embarrasse tout le monde ? »

.. s’interroge le député…. et il n’est pas le seul, si vous me lisez de temps à autres vous savez à quel point je peste contre ce « délit de négligence caractérisée », pas en tant que particulier (je n’utilise pas M$ LèpreOs et j’estime disposer des connaissances suffisantes pour me protéger convenablement … enfin jusqu’au jour ou mon ip fixe aura été générée aléatoirement et balancée dans un tracker torrent), mais bien pour un usage professionnel. Et là, évidemment, les questions du député Loos matchent parfaitement avec mes inquiétudes … QUI VA PAYER ?

Numerama insiste également à juste titre sur le devenir du P2P, le mouchard de la Milice du Net logiciel agréé de l’HADOPI disponible uniquement sur M$ LèpreOS®  en ses versions XP®, VISTA® ou « Séveune »® devra t-il filtrer le P2P… tout le P2P et rien que le P2P … « dites je le jure » ? … et même le P2P pour télécharger des fichiers légaux ?

Un élément de réponse avait été donné pendant les débats, et clairement, pour que ceci se fasse convenablement, il n’y a pas 36 solutions … devinez quoi ? … gagné !! elles ne sont pas fiables, mais alors pas fiables du tout !

Voici comment comment pourrait fonctionner le mouchard … si si vous allez voir c’est bien un mouchard 😉

Une base de données fichiers musicaux ou vidéos contenant ce qu’on appelle des hashing (appelons ça une empreinte numérique pour simplifier) sera stockée de manière chiffrée sur un serveur (on va chiffrer un truc chiffré, c’est la classe), appelons le au piff  « http://milice.extelia.com ».

Notre serveur http://milice.extelia.com communique en permanence avec le mouchard installé sur ton M$ LèpreOS. Le mouchard agit comme une sorte de scanner de hashing sur ton disque dur, si par malheur, il détecte un hashing qui correspond à celui d’un des hashing stockés sur ‘http://milice.extelia.com’, ce dernier fait son travail, il moucharde ! Du coup, un petit cron (une tâche automatisée) dit à smtp.extelia.com (le serveur de mail), d’envoyer un petit mail d’avertissement au propriétaire du mouchard… c’est beau la technologie non ? Sauf que …

Méééheuuu SAYPAMOA!!

Ah ben oui, je t’ai pas dit ? Le mouchard, c’est pas le Firewall OpenOffice de Christine ! Sa fonction n’est pas de protéger ton LèpreOS et encore moins de le patcher avec les mises à jour qui vont bien… Imagine que ta machine soit infectée par un cheval de Troie, chose qui n’arrive jamais parrait-il tellement LèpreOS est fiable … y’a à peine 4 millions de réponses dans Google… et que depuis ce cheval de Troie, un Jean-Kevin s’amuse à downloader allègrement depuis ta machine via un client console  BitTorrent (me regardez pas comme çà, je ne sais même pas si ça existe pour LèpreOS) Il établit ensuite un tunnel entre ta machine et la sienne, mais ce tunnel est évidemment chiffré et bien caché, pas de bol. Le hashing est bien détecté, le fichier piraté était bien sur ton disque dur, le mouchard a mouchardé … et toi … et toi tu es le dindon de la farce. Il va maintenant falloir prouver ton innocence.

Pour celà, tu as deux alternatives :

  1. Devenir un cador de la sécurité, un virtuose de la base de registre et partir à la recherche de la bébête qui a infecté ta machine. Il va aussi te falloir devenir un Uber Crypto Cracker pour casser le chiffrement du tunnel de Jean-Kevin… bref, tu vas vraiment « leverager ton crypto skill ». Ca te coûtera un peu de pognon quand même, il faudra que tu loues toute l’infrastructure cloudifiée d’Amazon pendant quelques jours, quelques semaines ou quelques mois … en fonction du chiffrement utilisé par Jean-Kevin … des broutilles, quelques centaines de millions de dollars devraient faire l’affaire.
  2. Te payer une société d’experts en espérant qu’elle arrive à mettre en évidence les failles et les trojans dont jean-Kevin s’est servit pour télécharger son p0rn et ses warez. Et crois moi, ce type de prestation, ça coûte bonbon !

Comment ça c’est à toi de prouver ton innocence ?

Ah je t’avais pas dit non plus ? Avec HADOPI, tu es présumé coupable, il est bien connu qu’une adresse IP est une preuve super fiable … c’est du lourd une IP ! … et ça suffit à ce que tu ais à te défendre d’une accusation … et ouai ! Tu es présumé coupable ! Et de toutes façons, même si c’est pas toi, le législateur a tout prévu .. tu viens de découvrir le délit négligence caractérisée !

Monsieur le Ministre la balle est dans votre camp

Le député Loos a posé des questions très précises au Ministre de la Culture et je vous promets une belle tranche de rigolade quand on va lire ses réponses … et en l’absence de  réponses précises, HADOPI, pour ce qui constitue le délit de négligence caractérisée, sera tout bonnement inapplicable. Je trépigne d’impatience, en fantasmant sur le second Volume des Cours de Sécurité informatique pour les nuls que la rue de Valois nous prépare. Et si vous avez raté le volume 1 … le voici.

J’ajouterai aux questions du député Loos les questions suivantes :

  • Est ce qu’oublier une mise à jour de LèpreOS constitue une négligence caractérisée ?
  • Est-ce qu’un 0day constitue une négligence caractérisée… pour celui qui la subit ou pour l’éditeur du logiciel  ?
  • Est-ce que ne pas faire la différence entre TKIP et CCMP constitue une négligence caractérisée ?
  • Est-ce que ne pas avoir LèpreOS et lui préférer OpenBSD sur lequel le mouchard ne veut pas s’installer quand on lance un  $ cd /usr/ports/security/mouchard && make install clean … constitue une négligence caractérisée ? Et oui souvenez-vous l’ami Franck Riester disait que l’interopérabilté ça ne servait à rien et que le mouchard serait payant … loul.

Monsieur le Ministre, méditez bien votre réponse, prenez votre temps, nous sommes tous fort curieux de connaître la manière dont HADOPI va aborder le laxisme des éditeurs logiciels qui mettent parfois jusqu’à 7 ans pour corriger des failles critiques !

Monsieur le député Loos, encore merci, je sens que vous allez nous la faire aimer cette négligence caractérisée.

5 réponses sur “François Loos : Monsieur le député … MERCI !”

  1. Moi ce que je ne comprend pas dans le délit de négligence caractérisé, c’est le fait d’installer un logiciel sur mon « ordinateur » pour sécuriser ma « ligne ». C’est un peu comme mettre un ‘filtre ou qqch’ sur une prise électrique pour protéger mon abonnement EDF, ça n’empêchera pas quelqu’un de mal intentionné de faire une dérivation sur ma ligne (ça marche aussi pour l’eau ou le gaz).
    Le dispositif de sécurité devrait-il pas être sur le modem/routeur pour être réellement efficace?!
    De plus ce dispositif doit il me protéger ou juste détecter la négligence? Partons du principe que je sache que mon IP est usurpée, comment je fais pour corriger mon installation?

  2. Excellente comparaison pour EDF.

    Concernant le un dispositif sur les modems routeurs, il va falloir demander à Free, Orange et SFR d’arrêter de faire des box sous GNU/Linux (merci Franck Riester… interopérabilité toussa… ) et de les faire tourner sur window mobile (mouahahahahahhahah)…. bye bye la téléphonie et la TV, Windows ne sait pas faire … je ne parle même pas du coût des licences.

    Ensuite il va falloir faire accepter à ces FAI qu’un système tiers communique en permanence avec l’intimité de leur infrastructure réseau … j’en pleure de rire excusez moi… Windows embarqué / communiquer en permanence …fiabilité … service utilisateurs … sécurité … j’imagine la tronche de Rani Assaf, le directeur technique de Free, s’il lit ces lignes 😉

    Comprenez cependant que le mouchard ne protege pas du tout votre ligne, ils ne fait que constituer un gage de votre bonne volonté pour vous couvrir au niveau juridique (enfin même si vous le mettez en prison dans un émulateur voir : http://bluetouff.com/2009/04/05/contourner-lhadopi-pour-les-nuls-on-met-le-contre-logiciel-en-prison/ )

  3. A mon avis leur logiciel de sécurisation c’est plus un logiciel de sécurisation juridique que de sécurisation informatique (quoique fort possible que ce soit un Cisco Security Agent like, parfaitement compatible avec LOPSSI, la coïncidence n’en est peut-être pas une).
    Qui empêchera les agents hadopi, qui seront soumis à l’obligation de remplir les objectifs chiffrés, de tirer les IP au hasard façon loterie nationale (oui bon y’a mieux, je suis sur qu’on peut faire un script en 15 lignes qui nous chie 1000 IPs heurodatées / jour avec envoie de mail automatique (penser à rajouter certaines IPs en exception dans une liste (députés UMP, showbusinessmen, gouvernement, ami perso de Nicolas, localhost car sinon c’est balo ^^… ))).

    Voici dès lors la procédure judiciaire :

    Si hadopiware == 1 and MAJ_hadopi == ‘OK’ alors # Pour la MAJ il faudra montrer le reçu certifié, non mais !
    delit = « Non coupable »
    Sinon si hadopiware == 0 ou MAJ_hadopi == ‘NOK’ alors
    Si Internaute == « Contestataire= alors
    delit = contrefaçon
    call « dommageinteret_majors »
    sinon
    delit = négligence caractérisée
    Amende = 1500 €
    coupure = « A la tête du client »
    Fin de la condition

    Enfin bref de la merde législative en barre… Quoiqu’il arrive je préfère encore résister et être digne que de céder à leur chantage, et s’ils me font trop chier je demande l’asile politique à la Finlande où Internet est reconnu comme un Droit Fondamental

  4. Salut

    Merci pour cet article qui apporte certaines réponses aux questions que je me posait en ce qui concerne l’exécution de cette loi.

    Comme vous l’avez déjà évoqué, il semble que nous soyons à la porte d’une croissance exponentielle de la « guerilla du réseau » en France. Néanmoins un certain nombres d’incertitudes persistent sur l’interdiction lourde qui va être mise en place.

    Le gouvernement compte t-il réellement faire appel à la crème des écoles de hautes technologies informatiques pour persécuter « les manifestations de négligences caractérisées » sur la toile ? Pense t-il bêtement que les professionnels du métier (et notamment les fournisseurs d’accès) seront suffisamment loyaux pour ne pas dispenser le virus et l’antidote à la fois (comme le font déjà les société d’anti virus informatiques) ?

    Combien seront prêt à vendre leur âme, et la résistance n’aura t-elle toujours pas un train d’avance comme toujours ?
    Ce qui est certain selon moi, c’est que l’injustice dispensée autour d’HADOPI sera flagrante et percutante. D’autre part, je pense que nos pauvres hommes et femmes politiques ignorent totalement que le matériel actuel pourrait tout à fait permettre la naissance de réseaux pirates de grande envergures et échappant à tout contrôle. N’existent-ils pas déjà d’ailleurs ? … Souvenez vous des réseaux hertziens pirates durant la résistance face à l’occupation allemande, et dites vous bien, mesdames et messieurs les élus bien pensants, que ces réseaux ne sont pas totalement morts. Votre HADOPI va les nourrir jusqu’à provoquer la faillite financière définitive de tous les Fournisseurs d’accès internet français.

    A bon entendeur, salut !

  5. @dtc
    hélas des collabos il y en aura toujours. Donc oui des informaticiens de haut niveau participeront à l’ignoble.

    Mais les geeks seront les nouveaux Résistants. Comme les Cheminots furent les Résistants d’une guerre menée avec des moyens lourds où le train fut stratégique, dans la guerre de l’information qui arrive, les informaticiens devront choisir leur camp et faire pencher la balance : pour les Libertés ou pour le kafkaïsme orwellien.

    Ce message est très sérieux.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.