DPI : une réponse officielle de l’HADOPI

J’ai reçu ce soir une réponse de la haute autorité concernant ce billet sur le Deep Packet Inspection, dans lequel je vous faisais part des inquiétudes que je partage avec de nombreux internautes. Il s’agit donc d’une réponse officielle de l’HADOPI, et elle est relativement… surprenante. Pour ne pas mélanger les genres, je ne la commenterai pas dans ce billet.

Je vous laisse découvrir cette réponse :

De très nombreux fantasmes circulent sur d’hypothétiques tests par l’Hadopi des technologies de deep packet inspection (DPI) dans le cadre de la mission confiée à la Haute Autorité par le législateur. Ils nourrissent une inquiétude certaine auprès d’internautes. Une clarification s’impose. Les questions posées dans ce billet la permettent.

1-     L’affirmation selon laquelle « Hadopi prévoit dans son dispositif des tests sur les technologies de deep packet inspection » est fausse. Il n’entre pas dans la mission légale de l’Hadopi d’effectuer de tels tests qui sont, donc, totalement exclus.

2-     La loi confie à la Haute Autorité la mission d’évaluer « les expérimentations conduites dans le domaine des technologies de reconnaissance des contenus et de filtrage par les concepteurs de ces technologies, les titulaires de droits sur les œuvres et objets protégés et les personnes dont l’activité est d’offrir un service de communication au public en ligne ».

3-     Si de telles expérimentations étaient conduites par l’une ou l’autre des personnes mentionnées ci-dessus, elles devraient donc naturellement être portées à la connaissance de la Haute Autorité au plus tôt pour que celle-ci soit à en mesure de remplir de façon éclairée la mission que lui a confié le législateur, et ce d’autant que ces évaluations doivent être présentées au législateur et au public dans le rapport d’activité de la Haute Autorité.

4-     A ce jour, aucune expérimentation n’a été portée à sa connaissance. Si des résultats venaient à lui être présentés sans qu’elle n’ait eu la possibilité de connaître le lancement de telles expérimentations et d’en suivre le déroulement en toute transparence et dans la forme et avec les partenaires qu’elle déciderait, la Haute Autorité émettrait naturellement de fortes réserves sur la méthode même de l’expérimentation conduite et les résultats présentés.

5-     Bien que le protocole d’évaluation ne soit pas encore déterminé, la Haute Autorité rappelle qu’elle a d’emblée indiqué que celle-ci se conduirait dans le cadre du « Lab » réseaux et techniques qu’elle s’apprête à ouvrir, que la totalité du travail des « Labs » serait conduite dans la plus totale transparence, et que tous les documents portés sur la table des « Labs » serait publiquement accessibles à tous. Il s’agit là d’un engagement ferme et largement rendu public.

La Haute Autorité réaffirme l’impérative nécessité de protéger sur internet les droits des œuvres et de tous ceux qui contribuent à leur création. Pas plus que l’absence d’offre répondant à la totalité des attentes ne justifie le pillage, la protection des œuvres ne justifie pas l’usage de technologies disproportionnées.

Le Net français à l’ère de la prohibition culturelle

L’abus de lois liberticides est mauvais pour ton Internet

Une fois n’est pas coutume, nous allons un peu causer histoire sur ce blog. Une histoire surprenante que les plus jeunes d’entre vous ne connaissent peut être pas mais qui mérite surement qu’on la raconte. C’est il y a fort longtemps, en 1883, qu’une distillerie canadienne située en Ontario devient la propriété d’un certain Joseph E.Seagram. Elle est ainsi rebaptisée Joseph E. Seagram & Sons. C’est en 1928 que la Distillers Corporation Limited de Montréal rachète la distillerie Seagram, qui ne peut légalement prospérer comme prévu, puisqu’au même moment, de l’autre côté de la frontière, aux USA, c’est la prohibition. Mais le Canada devient naturellement le premier exportateur du continent pour éponger la soif illicite des voisins américains.

En 1933, à la fin de la prohibition, les invendus de 12 ans d’âge inondent le marché américain et la compagnie Seagram devient particulièrement rentable. C’est bien plus tard, vers 1981, que la Seagram Company Ltd tente de diversifier ses activités, d’abord dans l’énergie (pétrole et gaz). Puis, en 1995, c’est un virage à 180° (mais plutôt entre 40 et 45°) qui est opéré. Profitant des 9 milliards de liquidités de la vente de ses participations dans DuPont, Seagram prend le contrôle d’Universal Studios, MCA, PolyGram, et Deutsche Grammophon. Un groupe qui ressemble fort aujourd’hui (quelques labels en moins) à l’épine dorsale d’Universal Music. Ce n’est qu’en 2000 que Jean-Marie Messier réalise ce rêve fou de devenir la world company de l’entertainment et revend les derniers actifs du groupe dans le secteur des spiritueux au groupe Pernod Ricard, dans le but de racheter tout ce qui lui tombe sous la main dans le monde du divertissement (musique, cinéma, jeux vidéo, Internet,… tout y passe).

Aujourd’hui, à l’heure d’HADOPI, et fort de son histoire, Vivendi Universal est l’un des principaux artisans de cette nouvelle forme de prohibition : la prohibition des échanges culturels sur Internet. Je sais le parallèle est osé, mais l’histoire parle… Et les intéressés s’en félicitent.

Mais HADOPI, comme la prohibition est vouée à une mort certaine. On ne lutte pas contre des usages, on s’y adapte par une politique de prévention ou en offrant quelque chose de plus attirant… genre une offre légale adaptée qui ne cherche pas à substituer un steak par du petit lait.

Deep Packet Inspection : vous voulez éviter une guerre numérique ?

ciscoHADOPI prévoit dans son dispositif des tests sur les technologies de deep packet inspection. C’est une volonté plusieurs foi affirmée par Nicolas Sarkozy lui même.  Le DPI est déjà en place chez de nombreux fournisseurs d’accès, et c’est normal, car il ne faut pas y voir que du mal. Le DPI a également certaines vertus en terme de gestion de trafic, de détection des attaques… Oui mais voilà, à partir du moment ou ces technologies servent à autre chose que le fonctionnement normal d’un réseau (comme c’est le cas dans le cadre de la chasse aux contenus copyrightés), il est nécessaire, non seulement que ceci soit particulièrement encadré légalement, et surtout que quelques expériences de savants fous ne soient pas menées dans l’opacité.

J’ai donc quelques questions à poser très ouvertement, et j’entends bien, comme des dizaines de milliers d’internautes sensibles à la question du DPI, et des millions d’internautes soucieux de la sécurité de leur données personnelles qu’on y réponde clairement :

  • Qui va mener ces tests (des FAI, des sociétés privées…) ?
  • Quelle sera la durée de ces tests ?
  • Quelles données seront collectées ?
  • La CNIL exercera t-elle un contrôle sur ces tests ?
  • Les résultats sur l’efficacité seront ils publiés ? (sinon merci de préciser pourquoi)
  • Quels types d’équipements seront utilisés ?
  • Où sur les réseau ces équipements seront ils placés ?

Je vous invite donc à faire toute la transparence sur ces questions, on parle d’un usage contre nature de technologies non maitrisées, le DPI étant le nucléaire de l’Internet, il me semble capital d’y répondre rapidement avant que le climat ne se tende encore un peu plus qu’il ne l’est déjà aujourd’hui.

Pour conclure, je vous laisse découvrir cette vidéo édifiante, elle concerne un gros équipementier américain qui vous laissera vous faire votre opinion sur le niveau de responsabilité assumé par ces marchands de flicage privé.

De la négligence caractérisée… comment avons nous pu en arriver là ?

Je me permet de vous livrer une petit réflexion rapide sur la dangerosité de la contravention pour négligence caractérisée introduite par le législateur dans HADOPI. Ce n’est évidemment pas le première fois que j’en parle ici, mais l’absurdité de ce terme, « négligence caractérisée » me fait me poser beaucoup de questions. Je me permet donc de réfléchir un peu tout haut…

Commençons par le pourquoi :

Devant un phénomène massif, il a fallu permettre une (in)justice expéditive se passant du juge. Sans crime constitué et avec un délit sans preuve valable, le législateur a du trouver un subterfuge, à savoir une ruse, un moyen détourné visant à se tirer de l’embarras.

  • Premier point, le plus évident, et pourtant visiblement pas assimilé du tout par la député Marland-Militello qui aime à afficher sur son blog que les internautes téléchargeurs sont des criminels qui tuent les artistes : en droit, un simple téléchargement, particulièrement dans le cadre d’un échange sur les réseaux P2P, peut difficilement être assimilé à un crime contre la propriété car ce terme désigne un transfert illégitime de propriété. Une oeuvre immatérielle qui s’échange ne change rien à la notion de propriété d’une oeuvre de l’esprit (son auteur continue à jouir de la propriété pleine et entière de sa création, même si cette dernière est dupliquée : il n’y a pas de soustraction, mais multiplication). Un tribunal requalifierait donc immédiatement un « crime de téléchargement d’un MP3 d’Enrico Macias » en une infraction mineure. Un téléchargement n’a jamais tué personne, ni un artiste, et encore moins la création. Les discours de Nicolas Sarkozy à ce propos sont ridicules, tant sur le plan de la création que sur le plan juridique, et plus que discutables, sur le plan économique.
  • Le délit de contrefaçon ( article L. 335-3 du Code de la propriété intellectuelle) était lui aussi proscrit. Pourtant, tout indiquait qu’il pouvait se matérialiser par des preuves tangibles… mais nécessitant une commission rogatoire, et une véritable action judiciaire pour constituer un dossier de preuves plus solide qu’une adresse IP collectée sur un tracker torrent (ça va vous seedez toujours là ?). En droit, est considéré comme un délit une infraction entraînant une réparation : par exemple des dommages et intérêts, ce qui nécessite l’estimation d’un préjudice, quasiment impossible à évaluer dans le cadre d’un téléchargement (dans la pratique du P2P, ce n’est pas parce que l’on télécharge ou que l’on met à disposition une oeuvre qu’on aurait couru l’acheter à la FNAC, et encore moins qu’on serait allé la revendre dans le métro à la sauvette comme c’est maintenant le cas grâce à HADOPI). Le téléchargement étant devenu un usage en plus d’une décennie pendant laquelle les majors se sont grattées le derrière en se demandant comment elles allaient pouvoir gagner plus d’argent grâce à Internet, le délit de contrefaçon était une réponse anecdotique à un usage massif.
  • Une contravention est en droit pénal l’infraction la moins grave. La sanction maximale d’une contravention est une amende de 3000 euros. La contravention pour négligence caractérisée a fixé son plafond à 1500 euros et prévoit une sanction assortie qui est la coupure de la connexion de l’abonné (dont le préjudice réel peut, de très loin, dépasser le plafond maximal d’une contravention). Nous disposions en plus dans le droit français d’un exemple concret en application : celui des radars routiers dont on a eu de cesse de nous rebattre les oreilles pendant les débats sur HADOPI. Mais voilà, Christine Albanel a eu beau nous exposer ses arguments, elle n’a pas plus convaincu les internautes qu’elle n’arrive à convaincre ses nouveaux collègues d’Orange. En effet, il est rarissime qu’un automobiliste change de plaque d’immatriculation avant de passer devant les radars, alors qu’HADOPI incite les internautes à changer d’IP avant de se faire flasher ou reflasher par les sondes de TMG, société privée à qui les ayants-droits ont confié la mission de s’occuper de leurs radars (oui j’ai bien dis sondes et j’y reviendrai dans un prochain billet). Mais si vous m’avez bien suivi ça nous donne des sociétés privées, qui mandatent d’autres sociétés privées pour se faire justice elles-mêmes… et ça en droit français, à ma connaissance, c’est une nouveauté… dangereuse. Enfin la sanction est confiée à une haute autorité administrative qui n’est ni un tribunal de police, ni une juridiction de proximité, qui étaient pourtant jusqu’ici seuls habilités à sanctionner ce type d’infractions. Dans un état de droit, ceci est susceptible de constituer une dérive inquiétante.

Quand le pourquoi « massif » explique un comment « ridicule »

Et c’est là, qu’on sombre dans le comique… le législateur, qui dans plus de  80% des cas n’est pas fichu de faire la différence entre son système d’exploitation et le contenu de son navigateur, a décidé de pointer du doigt le défaut de sécurisation de la « connexion Internet » pour matérialiser l’infraction de la contravention. Juridiquement, la loi n° 2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur Internet (vous noterez que le nom même de cette loi est un mensonge de bas étage puisqu’elle ne favorise en rien ni la création ni la diffusion des oeuvres, la récente disparition de Jiwa est encore là pour nous le rapeler) modifie l’article L. 335-3 du Code de la propriété intellectuelle définissant le délit de contrefaçon, et ajoute une contravention pour négligence caractérisée qui n’annule en rien le délit de contrefaçon, laissant ainsi planer le spectre d’une double peine, et même d’une triple peine si on y ajoute la coupure de connexion.

Et enfin le risque

Quand on inscrit dans le corpus législatif une telle monstruosité, on est en droit de s’inquiéter sur l’applicabilité à des crimes, et non plus des délits ou des contraventions. Imaginez donc un seul instant, que la négligence caractérisée s’applique à une personne qui n’a pas su « sécuriser sa connexion » et qui s’est retrouvée victime de l’inoculation d’un cheval de Troie servant par exemple à diffuser des contenus pédophiles par vagues de spams. Le propriétaire de la machine, qui est aussi la victime d’un piratage, se trouve donc accusé d’une contravention pour négligence caractérisée, sur des faits passibles d’assises. Ces dérives sont malheureusement bien réelles aux USA ou des personnes sont emprisonnées à tort pour des faits de détention ou diffusion de contenus pédopornographiques. Le cynisme de la contravention pour négligence caractérisée est qu’elle équivaut à un « bien fait pour ta pomme » aux victimes d’intrusions dont la vie se retrouve brisée.

Mon sentiment

Je ne suis pas juriste mais il y a pas mal de choses qui me dérangent sur le fond comme sur la forme. Cette contravention est ridicule tant dans ses fondements que dans ce qu’elle prétend sanctionner. Elle vient se poser en épouvantail, en amont d’un délit de contrefaçon, lui bien applicable, mais en terme de dissuasion, impossible à gérer car il nécessite trop de moyens dans sa mise oeuvre à grande échelle pour répondre au téléchargement devenu un usage massif sortant du cadre de l’exception au droit d’auteur alors que l’on paye pourtant une taxe sur la copie privée (cherchez l’erreur, elle est soit fiscale soit législative, mais il y a bien là encore une incohérence car on taxe une pratique déclarée illicite… ).

L’ applicabilité de la contravention pour négligence caractérisée pourrait bien se voir compromise au moindre déferrement devant un tribunal, ce qui m’invite à penser que si l’étape 2 du dispositif, c’est pas pour demain, l’étape 3, à savoir la coupure de connexion, ne sera jamais appliquée. D’ailleurs il est entendu par circulaire de la chancellerie que les tribunaux n’ont aucune envie de voir défiler le produit d’une telle sotise.

Enfin, la négligence caractérisée, pour défaut de sécurisation de l’accès Internet, est d’une hypocrisie sans faille, qui consacre le terme de « sécurité » à la surveillance d’une connexion contre un usage, qui est le téléchargement, au lieu de porter son dévolu sur une notion fondamentale et à laquelle chacun à droit : la protection de ses données personnelles qui fait pourtant en pratique tant défaut à de nombreuses sociétés et administration qui en exposent par dizaines de milliers. une situation d’un cynisme inacceptable.

Débattre avec Franck Riester ? Ouai mais non…

Je suis tombé sur la charmante proposition de l’ami Skhaen et relayée par Spyou qui lançait l’idée d’un débat avec Franck Riester…. et bien très franchement, c’est hors de question, et je vais vous expliquer pourquoi.

Un débat entend que des personnes aient une volonté réciproque d’échanger. Franck Riester à 90 heures de preuves à charge en vidéo à son encontre (vous les trouverez dans le médiakit de la Quadrature du Net, il s’agit des débats parlementaires sur Hadopi 1 et 2 … anéfé.. rejeté…), il n’écoute que lui même, y compris quand il sait qu’il raconte n’importe quoi, qu’il désinforme, et qu’il sert sa propagande pour diaboliser le Net.

Ensuite, la langue de bois, quand elle est maniée avec art, peut être distrayante… là même pas… Franck Riester ne m’amuse pas le moins du monde. Ni sur le fond, ni sur la forme… bon ok, un cours de firewalling Open Office avec Christine Albanel, vaut bien une certification Cisco… Mais voilà, je préfère me concentrer sur un dialogue sérieux avec des interlocuteurs autrement plus cortiqués.

Enfin, je n’ai pas pour vocation à instruire une personne ultra compétente en son domaine, puisque comme la député Marland-Militello, il a été rapporteur sur Hadopi… c’est donc qu’il connait parfaitement internet… Comme la député Marland Militello… « Je veux une république irréprochable » disait notre président… et un Internet civilisé dans lequel Franck Riester lutte contre les hackers

Ça va ? Vous en avez beaucoup attrapé des hackers Monsieur Riester depuis votre brillante sortie ? Parce qu’en attendant, les pirates, eux, ils sont morts de rire.

Donc non franchement, je vais laisser monsieur Riester débattre tout seul et continuer à être l’un des artisans majeurs de la défaite de Nicolas Sarkozy et de la désaffection des jeunes pour l’UMP, il se débrouille parfaitement sans moi.

D’ailleurs monsieur Riester a surement mieux à faire… Il pourrait par exemple tenter d’aider le ministre de la culture à répondre aux questions des parlementaires qui trainent depuis plus d’un an !

Internet civilisé

Cleanternet

La député Marland-Militello, décidément en très grande forme en ce moment, nous cause encore Internet, pas n’importe quel Internet, son Internet à elle est civilisé grâce à Nicolas Sarkozy… il est fort ce Nicolas.

Comme à son habitude, la député Marland-Militello démontre une confusion extrême dans ses propos, qui prouvent, une fois de plus s’il en était encore besoin, qu’elle ne comprend strictement rien à ce qu’elle raconte. Elle commence donc par se féliciter de l’immense succès populaire qu’est HADOPI (mais sur quelle planète peut bien vivre madame Marland-Militello ?).

Première tentative d’argumentation, première bêtise de gros calibre, je cite :

« Sans fournisseurs d’accès pas de piratage possible puisque pas d’internet possible »

Celle ci compte double et je ne perdrai pas de temps à lui expliquer ce qu’est l’Internet et un fournisseur d’accès, j’y renonce, désolé. Je soulignerai simplement qu’il est de notoriété publique que le « piratage » existe uniquement depuis l’avènement de l’Internet. Donc si on supprime Internet, plus de piratage, c’est d’une logique implacable !


Reportage Piratage INA
envoyé par tsubasa_403. – Vidéos des dernières découvertes scientifiques.

Ensuite, ça ne s’arrange pas :

« Il est donc logique que les fournisseurs d’accès participent à la régulation des dérives commises par certains sur internet. »

Là, il est quand même plus inquiétant de voir qu’une élue de la République trouve normal de confier une mission judiciaire aux fournisseurs d’accès. Par régulation des dérives, on parle quand même de lutte contre la contre-façon, qui est un délit. Depuis quand les fournisseurs d’accès sont ils investis d’une mission qui incombe à la justice ?

« Le travail des hommes et des femmes politiques responsables est d’agir pour qu’internet ne soit pas un monde sans foi ni loi, où les droits et les libertés seraient menacés, à commencer par la sécurité. »

Ah nous y voilà ! Internet ce monde sans foi ni loi… et les politiques vont nous sauver… c’est vrai qu’a dresser le bilan de votre oeuvre en matière d’Internet, on comprend tout de suite l’importance que des politiques légifèrent, comme pour le DADVSI, comme pour HADOPI… deux succès à n’en pas douter, on attend LOPPSI et le blocage des sites pédophiles avec impatience pour que la député Marland-Militello nous explique que grâce à Nicolas Sarkozy, plus aucun mineur n’est victime d’abus sexuels. D’ailleurs notre Internet à nous il est quand même vachement plus propre que l’Internet de nos voisins… Puis il y a ce mot à la fin de la phrase… SECURITE… là encore il est de notoriété publique que l’Etat est irréprochable et donne l’exemple. D’ailleurs avec HADOPI, on aura plus de problème de sécurité, c’est bien connu… même la NSA est parfaitement d’accord avec la député Marland-Militello, HADOPI est un succès pour la sécurité intérieure des Etats.

On a ensuite comme il est de coutume dans chaque billet de la député Marland Militello une petite diatribe à la gloire du chef :

Et grâce à notre Président de la République Nicolas Sarkozy, la France est la pionnière mondiale de l’internet civilisé.

… ouai on est trop forts nous en France ! On est super civilisés, et on a un usage très responsable des nouvelles technologies… nous sommes exemplaires !

Puis, comme on en est plus à une confusion de plus ou de moins, on termine en apothéose :

les FAI ont également un rôle de premier plan à jouer dans l’accès à une offre légale de qualité (…)

Notez qu’elle est belle celle-ci, un lapsus ultra révélateur qui assimile des fournisseurs d’accès à des producteurs de contenus… La député Marland-Militello confond ici Vivendi Universal avec un fournisseur d’accès.

Allez on se la refait, pour le plaisir :

Nicolas Sarkozy va sauver la création… et Willy ?

Sauvez HADOPI

Quand notre Président fait une sortie pour défendre HADOPI, on se dit que Christine Albanel n’est peut être pas responsable de toutes les bêtises qu’elle a pu sortir dans l’hémicycle pendant les débats sur HADOPI.

« Si on laisse le pillage que représente le piratage prospérer (…) il n’y aura plus de cinéma, il n’y aura plus de disques, il n’y aura plus de livres, il n’y aura plus de créations » (…) « Si on autorise le vol, on détruit le processus de la création (…) je ne laisserai pas détruire le livre, je ne laisserai pas détruire le disque, je ne laisserai pas détruire le cinéma, c’est trop important pour notre pays »

Il est intéressant de constater que dans la tête de notre Président, la création est indissociable de l’économie de marché. Comme si nos ancêtres néandertaliens avaient eu besoin d’un éditeur et d’un contrat de distribution pour produire leurs fresques, comme si un enfant ne pouvait pas se passer d’un contrat avec une major pour chanter dans sa cour d’école…  Si de très loin, ça semble tenir la route pour le cinéma, concernant l’écriture, ou la musique, il s’agit d’une énormité. Vous avez vu ? Je parle de musique et non de disques, je parle d’écriture et non de livres. Et oui, assimiler la création à son support est une erreur factuelle.

Mais il y a encore plus énorme… Nicolas Sarkozy a donc expliqué à nos chérubins qu’Internet tuait la création, alors que la création, elle ne s’est jamais aussi bien portée depuis l’avènement d’Internet. C’est par centaines de milliers que des musiciens expriment leur art sur MySpace, et par millions que des gens publient sur leur blog… et on nous parle d’un Internet meurtrier pour la création ? On dépasse un peu le cadre du manque de discernement là non ? On est même carrément les deux pieds dans la pure propagande. Je ne parlerai même pas du couplet sur les « règles » qui n’ont jamais été autant transgressées par un président que depuis l’élection de Nicolas Sarkozy… même les plus élémentaires, celles qui font le fondement de notre République, comme le respect de la séparation des pouvoirs au hasard.

Ce qui tue la création, c’est par exemple l’article 4 de la LOPPSI et tous les dispositifs sécuritaires appliqués à Internet. C’est en restreignant les libertés individuelles que l’on tue la création, en tuant un outil permettant l’exercice d’une liberté fondamentale… Restreindre les libertés de l’ensemble de la population sous des prétextes fallacieux est un acte de terrorisme.

Monsieur le président,

  • Sauvez nos otages ;
  • Sauvez nos retraites ;
  • Sauvez l’état de droit ;
  • Sauvez Willy ;
  • Sauvez nous des invasions martiennes ;
  • Sauvez ce que vous voulez… mais de grâce, foutez la paix à la création, elle n’a pas besoin de vous.

Illustration Design by Olybop

Anonymat – Acte 1 : VPN et HADOPI… et vous vous pensez anonymes ?

Ce billet est le premier d’une petite série sur le thème de l’anonymat, des VPNs, et par extension, des attaques possibles. Pour un plus grand confort de lecture, ce qui ne devait faire qu’un seul billet va du coup en faire plusieurs, ils auront un caractère plus ou moins technique. Le premier est une (longue) introduction aux bases de l’anonymisation IP… bonne lecture.

/Greetz wizasys /-)

Fallait pas me chercher…

VPN par ci, VPN, par là, je commence à être blasé d’entendre ce mot utilisé n’importe comment et à toutes les sauces, et surtout d’entendre tellement de contre-vérités sur leurs vertus « anonymisantes ». Comme promis, voici quelques réflexions sur les VPNs, motivées par une recrudescence de spams sur ce blog liés à l’exploitation du bruit autour d’HADOPI. Si certains, plutôt courtois me proposent d’essayer leurs solutions, d’autres viennent carrément pourrir systématiquement tous les billets où ils décellent le mot « HADOPI » pour venir coller un lien sur leur site web qui prétend vendre de la sécurité à 5 euros par mois. Mais le plus dérangeant dans tout ça, c’est surtout les idées fausses qui sont véhiculées sur de nombreux sites ou wikis, et tendant à dire qu’un VPN est l’arme absolue pour vous mettre à l’abri de l’inspection en profondeur de paquets (DPI) et préserver votre anonymat.

Qu’est ce qu’un VPN ?

Un réseau privé virtuel ou VPN est un tunnel chiffré dans lequel on fait passer ses communications dans le but de les sécuriser. Ainsi, on entend contrôler les routes empruntées par les informations afin d’éviter la captation par des tiers non autorisés.

Si les VPNs sont pour l’instant une réponse très relativement efficace pour passer sous les radars de Trident Media Guard (je dis bien pour l’instant car sur certains protocoles de P2P, ça risque de ne pas durer, et pour le reste…), ils ne sont pas la panacée, et ne suffisent pas à garantir votre anonymat. Que ce soit sur les réseaux P2P ou sur de simples sites web, il existe, même derrière un VPN, plusieurs techniques permettant de révéler votre véritable adresse IP. Les pièges sont nombreux, ils émanent autant des sites que vous visitez que de votre propre fait, il est donc primordial d’en avoir conscience.

Les racines du mal

En pondant un texte aussi peu inspiré qu’HADOPI, notre bon législateur s’est involontairement exposé à une menace bien réelle dont on peut observer quelques effets indésirables dans d’autres pays. De nombreuses sociétés se sont engouffrées dans ce nouveau marché de la surveillance de masse et du contrôle généralisé, d’autres tentent d’y apporter des parades. Notre Ministre de l’industrie a de quoi se frotter les mains, il va ici voir emerger un nouveau pan de l’économie hexagonale, bien nauséabond, celui de la course à l’armement numérique. Sur Internet comme dans la vraie vie, les marchands de canons peuvent être des personnes très sympathiques, c’est de la protection qu’ils vous vendent sur le papier, mais la mort reste leur fond de commerce. Fabrice Epelboin en parlait très bien dans sa publication sur les révélations d’un CTO de réseau pédopornographique, ses prémonitions sont en train de se concrétiser. Jusque là, les gens qui avaient besoin d’assurer leur parfait anonymat étaient soit des professionnels dont la confidentialité des échanges est nécessaire de par la nature de leurs fonctions, soit des gens dont la nature illicite et criminogène des activités nécessitaient d’éviter de se faire pincer. En ramenant le besoin d’anonymat à des comportements d’ordre délictuels du type téléchargement de MP3 copyrightés, il ne faut pas s’étonner de voir certains réseaux mafieux se frotter les mains en se disant qu’ils vont pouvoir s’attaquer à des marchés plus grands publics. Leurs infrastructures sont là, elles n’attendent plus que les bons gogos… et ces gogos, c’est nous tous !

Ceci est très dérangeant et paradoxal car l’anonymat et la vie privée (ou la protection de la confidentialité) est un besoin légitime, la sécurisation des échanges l’est aussi. Les démarches administratives (impôts, URSSAF…), les opérations bancaires ou financières(…) nécessitent des échanges sécurisés.

On peut donc remercier nos élus d’avoir fait pour l’Internet ce choix de société, souvent par manque de courage politique, quelques fois par e-gnorance, mais aussi et surtout par jemenfoutisme. Vous trouvez que j’y vais un peu fort ? Dans ce cas, respirez un grand coup avant de lire la suite car je n’ai pas terminé… l’échauffement.

Internet est un réseau public

Internet n’a pas été pensé pour l’anonymat ou la vie privée, il s’agit d’un réseau public, les informations de routage sont donc publiques et les données ne sont à l’origine pas chiffrées. Internet permet naturellement le chiffrement mais ce dernier ne cache pas l’identité de l’émetteur ni du destinataire (le chiffrement cache le payload mais pas les informations de routage ni les métadonnées).

L’Internet est constitué d’AS (systèmes autonomes) qui appartiennent à des fournisseurs d’accès, les AS communiquent via des IX (Internet Exchange). C’est dans les AS (je n’ose imaginer que des ayants-droit ou des officines privées accèdent un jour aux IX) que des personnes qui veulent vous « sécuriser » iront, si on les laisse faire, placer leurs dispositifs d’écoute… tout simplement car c’est là que passent le plus de communications. Ce ne sera pas un problème pour Orange ou SFR (qui utilisent déjà le Deep Packet Inspection pour détecter les DDoS, Spam, Botnets et autres attaques virales) que de faire directement de l’écoute sur leur AS, en revanche sur les IX, d’autres FAI pourraient voir ça d’un très mauvais oeil. Mais aux USA, il est par exemple admis que la NSA puisse réaliser ses écoutes directement au niveau des IX. En France, on imagine bien que la DGSE puisse pratiquer elle aussi de telles captations sur un IX, mais Jean-Marc Manach vous en parlerait sûrement mieux que moi.

Toujours est-il que les FAI (beaucoup) conservent les logs au niveau des AS et sont en mesure de vous dire qui a communiqué avec qui à une date donnée. Je suis un peu plus circonspect concernant la production et la rétention des logs sur les IX, c’est un sujet que je ne maîtrise pas spécialement, mais selon les politiques de surveillance des agences gouvernementales de certains pays, certains IX font l’objet d’une capture de l’intégralité du trafic. A contrario, en Russie par exemple, où il existe peu d’IX, tout est extrêmement surveillé.

Les bases de l’anonymat

Je n’ai certes pas la prétention de donner un cours exhaustif sur l’anonymat mais ayant conscience de ce qu’il implique, je me permettrai simplement, je l’espère, de briser un mythe qui consiste à vous faire gober que des « solutions » simplistes répondant à peine à 10% des problématiques de l’anonymat sont des solutions pérennes pour la protection de votre identité sur les réseaux. Tout ceci est bien plus complexe qu’on aime à vous le dire.

Un VPN (réseau privé virtuel), propose la création d’un tunnel, généralement chiffré entre votre ordinateur (ou dans certains cas votre routeur) et le fournisseur du service. Dans la majorité des cas, tout ce qui passe entre le fournisseur du service et le contenu que vous ciblez passe en clair sur le réseau. Peu de services proposent un chiffrement « end to end » (de bout en bout) , c’est là la première vulnérabilité des solutions de VPN. Si tout passe en clair entre votre prestataire et le contenu que cible votre visite, généralement sur un serveur distant, au fond à droite des Internets, vous avez intérêt à avoir sacrément confiance en lui. Prenez bien conscience qu’en choisissant un fournisseur de service VPN, vous lui confiez la même chose que ce que vous confiez à votre fournisseur d’accès Internet, la moindre des précautions est donc de connaitre la législation en vigueur dans le pays de ce fournisseur de service.

Au chapitre des erreurs, la plus communément observée est l’amalgame fait entre la protection du contenu (ie chiffrement) et la protection du contexte (ie anonymat), entre chiffrement et processus visant à réduire les risques de captation de données. Si on devait résumer ça simplement on dirait que :

  • Les contenus définissent l’information
  • Le contexte définit l’environnement et les modalités d’accès à l’information.
  • On protège les contenus par le biais du chiffrement.
  • On protège le contexte par une série de méthodes et techniques adaptées, et sûrement pas par un produit, qu’il soit matériel ou logiciel.

Si le contenu ou le contexte est compromis, c’est votre anonymat qui est compromis.

Il convient également de faire la différence entre protection de la vie privée et anonymat :

  • Anonymat : la faculté de ne pas se faire identifier par un tiers ;
  • Protection de la vie privée : la faculté de protéger ses communications de la captation par des tiers non autorisés… Autrement dit, d’empêcher des tiers de savoir ce que vous dites ou ce que vous faites.

Si vous m’avez bien lu, vous devez donc comprendre par exemple qu’un réseau chiffré n’est pas forcément garant de votre anonymat. Et inversement, TOR protège le contexte… mais pas le contenu (mais nous allons y revenir dans un prochain billet de cette même petite série).

Qui écoute quoi et où ?

Vous avez tous entendu une phrase stupide, même sortant de la bouche de personnes connues comme Mark Zuckerberg (le fondateur de Facebook) du type : « si on a rien à se reprocher, on a rien à cacher« . Il doit s’agir de personnes qui n’ont jamais par exemple effectué un achat sur Internet ou qui n’ont jamais échangé un mail ou des photos avec leur famille…

En France, la captation de données informatiques, particulièrement quand il s’agit de données à caractère personnel, est très encadrée, elle nécessite l’intervention d’un juge, une enquête judiciaire…

Oui mais voilà, si l’internet s’arrêtait aux frontières françaises, on appellerait ça le Minitel… ou l’Internet par Orange. Vos communications, même nationales empruntent des routes qui ne sont pas toujours sur le territoire national, et donc non soumises aux mêmes contraintes juridiques, un fournisseur de services peut très bien décider de capter ces données pour une raison x ou y… comme par exemple le Patriot Act aux USA. Du coup, si vous en venez à passer par un fournisseur de service VPN aux USA, il ne faudra pas vous étonner si vos communications sont interceptées par les services américains, c’est la loi américaine qui est ainsi. Son pendant européen est la loi sur la rétention des données. Le choix de l’implantation des serveurs du provider dans telle ou telle juridiction est particulièrement important. Fournir des solutions d’anonymat ou du VPN demande une vraie maitrise juridique car c’est un paramètre crucial.

Est-ce que vous confieriez vos données personnelles à ….

Allez, fermez les yeux, et imaginez un instant que je travaille pour Universal Music, comment je procéderai à votre avis si je voulais faire la chasse aux petits resquilleurs ? Bingo, je monterai un service de VPN plus ou moins clairement brandé « contourner hadopi », je l’appellerai par exemple Hadopi en verlan…. ça fait djeuns, ça fait rebelz, et c’est surtout un super moyen de diriger (et même capturer) tout le trafic des gros téléchargeurs vers chez moi afin de mieux les identifier… et en plus, pour une fois, ils sont assez gogos pour payer.

La suite dans : Anonymat – Acte 2 : Les solutions d’anonymat tiennent-elles réellement leurs promesses ? (to come soon)

Hadopi.fr déjà détourné et parodié

hadobiPendant que certains perdent du temps à recoder des trojans gratuits pour les vendre à prix d’or à des entreprises en surfant sur une vague assez nauséabonde, d’autres, non moins enjoués, s’adonnent à la parodie du site hadopi.fr. PCInpact a d’ailleurs initié un concours. Les talents commencent donc à s’exprimer, plusieurs initiatives sont en cours de réalisation et devraient assez vite régaler la presse et 4 ou 5 gus.

Quand on cherche à bâillonner Internet, inéluctablement, ce dernier reprend la parole, c’est un peu la théorie de l’iceberg, quand on tente de l’enfoncer dans l’océan, il finit toujours par vous revenir en plein tronche. J’ai une petite pensée émue pour Frédéric Mitterrand qui affirmait quelques jours après le vote d’Hadopi 2 : « dans 3 mois on entendra plus parler d’Hadopi« … mon petit doigt me dit qu’on entendra encore parler d’Hadopi bien après qu’il ait quitté le gouvernement.

Côté détournements, j’ai par exemple beaucoup ri en découvrant la super popup quand on clique en haut à droite, sur la « version Albanel » du site Hadobi.fr, affichant une superbe erreur 301 :

C’est quand même bien plus drôle qu’un DDoS et cette dérision a le mérite de replacer le débat au niveau de l’utilité d’un texte absurde dont nous connaîtrons, soyez en assuré une troisième mouture. Comprenez que chaque acte, chaque initiative, si elle est porteuse de sens, pourrait avoir un impact sur les modifications en profondeur que le texte nécessite… si ce n’est une abrogation pure et simple, on peut toujours rêver. De manière plus pragmatique, quand on y pense, il y a quelque chose d’assez amusant, toujours relatif à la « sécurisation de la connexion Internet ». Une sécurisation de bout en bout de la connexion est envisageable quand on utilise un dispositif susceptible de tromper les sociétés mandatées par les ayants-droit… ou comment un simple mot peut tout faire basculer.

Quand le législateur ne sait pas faire la différence entre son système d’exploitation et le contenu de son navigateur, il ne faut pas s’étonner de le voir confondre « connexion Internet » et réseau local.

Seedfuck : on arrête les âneries svp

bittorent seedfuckBon, il me semblait que c’était clair, que tout le monde avait bien compris ce que faisait seedfuck… visiblement non. Troisième et dernière couche sur ce proof of concept. Rien que ce matin j’ai 6 alertes Google qui racontent tout et n’importe quoi sur Seefuck, le tout orchestré par une « quasi réponse » du ministère de la culture à une question d’un parlementaire.

Les idées fausses :

Seedfuck ne vous rend pas du tout anonyme sur les réseaux p2p, c’est en fait TOUT le contraire, votre IP peut se voir injectée dans un tracker torrent et vous pouvez ainsi vous retrouver accusés à tort de « négligence caractérisée » puisque votre ip a été collectée sur un tracker torrent.

Seedfuck a accompli sa mission de proof of concept : il a prouvé que le flashage d’une adresse ip ne suffisait pas à identifier un internaute comme étant le réel contrevenant. Ainsi TMG a du se résoudre à revoir sa procédure et l’intox des politiques qui racontent que ceci n’a aucun effet sur la collecte des IP, c’est juste du pipot de gros calibre. Conclusion : quand le ministère de la culture annonce en réponse au député Zumkeller que  » le risque de voir, dans les saisines transmises à la Haute Autorité, des personnes dont les adresses IP auraient été usurpées au moyen du programme SeedFuck est quasi inexistant  » il omet de préciser 2 choses : le surcoût qu’engendre seedfuck et la signification du « quasi ».

Le « Quasi » décidément très en vogue

Si un quasi pirate malveillant émule du trafic entre les paires en se basant sur des hashing de fichiers surveillés, il faut que les quasi cybercops de TMG téléchargent un bout du fichier pour s’assurer que le trafic correspond bien à du trafic réel et non à du quasi trafic. Le risque est quasi inexistant, mais il n’est pas quasi sans impact.

Et paff le portefeuille :

  • Flasher une ip = coût négligeable, procédure complètement automatisée
  • Prouver que l’IP télécharge un fichier bien réel = révision de la procédure et révision à la hausse du coût de l’identification.

Voilà c’est tout… passons à autre chose svp.