Comment taxer Google ?

J’ai attrapée l’information au fil d’un tweet d’EchoDuNet, largement commentée ce matin entre autres par Numerama, elle fait suite aux nouvelles orientations sur le Numérique de la Présidence de la République que le député Tardy avait évoqué. Le Sénat est actuellement en train de discuter de la Loi de FInance 2011, l’occasion rêvée pour adopter la taxation des revenus publicitaires générés sur Internet. Le Sénat a aujourd’hui adopté cette disposition. En clair, les sénateurs mettent en place la fameuse Taxe Google… mais sans taxer Google.  Ainsi ce sont 1% des budgets publicitaires qui seront prélevés à la source, directement sur les budgets communication des annonceurs. Domicilié en Irlande, un pays à la fiscalité plus vivable, Google capte une grande partie des recettes publicitaires, on peut donc considérer qu’il est bien la cible de cette nouvelle taxe.  Notez au passage que Google et d’autres poids lourds du Net menacent de quitter l’Irlande si la situation du pays amenait les autorités à revoir leur régime fiscal. Au moins comme ça c’est fait, ils ne viendront pas en France. Il était également question de taxer le commerce B2B en ligne, cette idée n’a finalement pas été retenue est c’est plutôt une bonne nouvelle. Bref pas de quoi crier au scandal, mais pas de quoi non plus envoyer un signal fort invitant les grandes entreprises du Nasdaq à élire domicile (surtout fiscal) en France.

La contrepartie n’est pas inintéressante puisqu’elle met (ultra) partiellement fin à l’arlésienne de la TVA sur les produits culturels (non, non, non… je vous vois venir, un CD Universal Music n’est pas un produit culturel, donc c’est toujours plein pot sur la musique niveau TVA). Ce sont donc les livres numériques, qui comme les livres papiers seront taxés à hauteur de 5,5%, une TVA allégée qui profite donc au numérique. Je vous parlais d’arlésienne ? Effectivement, cette TVA light sur le disque, j’en entendais déjà parler à l’époque où Jack Lang, alors ministre de la culture l’avait promise.

L’autre actualité fiscale, c’est cet énorme ouf de soulagement que l’industrie du cinéma va pouvoir pousser. Comme vous le savez tous le cinéma est une industrie en très grand danger à cause de vous tous bande pirates. Elle est d’ailleurs tellement en danger que l’État ne ponctionnera que 20 millions d’euros (au lieu des 120 initialement prévus) sur les 174 millions d’euros que devaient percevoir le CNC, le fruit de bénéfices records pour cette industrie dont on voulait vous faire croire qu’elle était exsangue. Ne revenons pas sur les méfaits supposés du téléchargement pour l’industrie culturelle, mais au final, que reste t-il d’autre comme argument aux pros HADOPI que cette très hypothétique négation du droit d’auteur ?

Enfin, pour conclure sur une note optimiste, ces bénéfices records de l’industrie du cinéma ne font que confirmer un sentiment que je me traîne depuis plus de 10 ans, l’industrie du disque est vraiment une super bande de charlots qui ne pourra pas masquer son incompétence bien longtemps et tenir sous perfusion de brouzoufs aux frais du contribuable… ça va vraiment finir par se voir. Allez, je vous fiche mon billet que dans 5 ans tout au plus, l’État taxera les revenus du disque… et c’est Google qui passera à la caisse.

HADOPI : réponse sommaire à la problématique de la labellisation des moyens de sécurisation

securitéJe me permet de publier les quelques observations que j’ai fait à l’HADOPI concernant les spécifications des dispositifs de filtrage, c’est assez sommaire car chaque point mériterait à lui seul que l’on s’y appesantisse bien plus. Les voici livrés de manière brute.

AVERTISSEMENT : les spécifications des moyens de sécurisation de la HADOPI peuvent profondément évoluer, il est donc nécessaire que les personnes concernées se manifestent et enrichissent ces spécifications avec des remarques ou fassent part de leurs inquiétudes sur divers points. En tout cas je vous encourage à le faire, ce n’est pas du temps perdu. La loi est là, il faut maintenant l’appliquer, à nous de faire en sorte que ce soit avec le moins de casse possible.

Le problème des réseaux sans fil publics

  • Les abonnés SFR utilisent souvent la connexion de leur voisin à leur insu (connectivité en roaming même depuis leur domicile). Il me semble important de demander à cet opérateur (comme à Free avec son service FreeWifi, même si ce dernier attribue une adresse ip différente de celle de la box à laquelle le freenaute est connecté) des chiffres sur cette pratique.
  • Ces réseaux publics avec portail captif sont très souvent vulnérables à un bypass d’authentification par encapsulation tcp over DNS.
  • Les réseaux publics déployés dans des lieux publics sont aussi souvent (même très souvent) mal configurés, un scan du lan une fois connecté au portail captif permet aisément de trouver l’ip de l’AP, ses ports ouverts, et donc l’interface d’administration. pour l’interface HTTP le mot de passe est souvent bien modifié, ce qui est très rarement le cas de l’accès console via ssh à ce même AP.
  • Toujours pour ces réseaux publics, les firmwares sont très rarement à jour, et donc exploitables.

Filtrage sur les protocoles (En fonction de la taille, des formats, débits, profils utilisateurs , débits, volumes et plages horaires).

Appliquer une politique de sécurité en fonction de ces critères est hasardeux, le risque de surblocage est très important. Le filtrage sur un protocole n’est pas acceptable en soi, c’est une discrimination par défaut, pas plus que ne l’est une approche statistique, même si l’on sait qu’à la sortie des écoles, un fichier de 700 mégas avec une extension .avi a 90% de chances d’être un fichier contrefait.
L’usage d’un protocole P2P pour des raisons légitimes ne peut pas être entravé, même par un simple avertissement. Dans le cadre de la cellule familiale, si un enfant utilise un protocole de P2P pour une raison légitime et que ses parents n’ont ne serait-ce qu’un avertissement, il partiront du principe que le P2P est une technologie problématique et donc proscrite.

L’analyse des configurations des postes clients (logiciels installés) risque d’être un gros frein, à moins que les journaux produits ne puissent être exploités que par l’utilisateur. De trop nombreux utilisateurs de Windows utilisent des logiciels crackés et vont prendre peur que cet outil agisse comme un mouchard.

Outils de journalisation

  • le principe du double archivage des journaux me semble acceptable, je n’ai aucun problème avec ça.
  • j’ajouterai la journalisation des adresses mac des clients du lan, qui même falsifiables sur le poste client, peuvent être corrélées avec les durées de session et donc être utiles pour disculper une personne victime d’une intrusion sur son réseau sans fil. Cependant, il est à noter que des box comme certaines anciennes Livebox proposent par défaut une fonctionnalité obligeant les postes clients à déclarer les mac adress pour pouvoir se connecter au WLAN (ces box sont livrées avec du WEP activé par défaut). Le résultat, c’est que l’intru, à l’aide d’un outil de sniffing wireless comme aircrack, peut repérer les mac adress connectées à la box (et donc autorisées) visionner le volume de trafic entre le point d’accès et le client, et donc usurper la mac d’un client autorisé (mac spoofing).
  • le contrôle de l’utilisateur sur les données de journalisation chiffrées est un bon point, l’utilisateur doit pouvoir demander ponctuellement le déchiffrement de son journal et s’assurer que la version non chiffrée n’a pas été altérée par un simple diff.

L’anonymisation des journaux envoyés pour déchiffrement des données collectées est très importante.

La sécurité est indissociable de la notion de confiance, et je ne vois pas comment l’HADOPI dont la mission initiale est de faire diminuer l’échange de fichiers contrefaits peut être un tiers de confiance acceptable par les utilisateurs. Même anonymisée, cette fonctionnalité sera en toute logique boudée des utilisateurs.

Concernant le stockage de données issues des contrôles des flux réseaux sur le LAN de l’utilisateur, en ce qui me concerne je refuserai catégoriquement qu’une machine connectée à mon réseau local aille scanner d’autres machines de mon LAN, même si ces informations restent sur le poste clients, il serait par exemple mal venu de compromettre une machine de mon LAN sous OpenBSD ou Linux parce qu’un logiciel sous Windows a décidé de stocker des informations sur mon LAN. Je n’accorde aucune confiance à ces moyens de sécurisation  sur une machine cliente.
La problématique des ordinateurs portables se connectant sur mon LAN (amis, famille) qui stockeraient des informations sur mon réseau domestique me fait froid dans le dos. Si un tel dispositif est labellisé, j’interdirai purement et simplement la connexion de tiers sur mon réseau de peur qu’un défaut de mise à jour ou une faille ne vienne compromettre une partie de mon LAN. Au mieux je demanderai la désinstallation complète du dispositif de sécurisation à un tiers pour le laisser se connecter à mon LAN. Qu’on le veuille ou non, cette fonctionnalité est assimilable à un mouchard, elle est donc à proscrire.

Systèmes d’exploitation libres et moyens de sécurisation

Les systèmes d’exploitation libres disposent déjà d’outils performants de sécurisation (de la vraie sécurisation qui lutte contre des accès frauduleux et qui ne condamne pas un usage). Les Unix libres disposent par défaut de Packet Filter et GNU/Linux de Netfilter/Iptable. Ces outils correctement configurés sont suffisants pour assurer un niveau de sécurité satisfaisant, tout dispositif supplémentaire est non seulement inutile et aucun crédit ne saurait leur être accordé. Tout labellisé qu’il soit, un tel dispositif a par exemple fort peu de chance d’apparaître dans les packages d’OpenBSD.
Même si ces solutions existent, elles ne seront jamais intégrées dans des distributions car ni leur fondement légal, ni leur philosophie, sont compatibles avec les logiciels libres.

Le principe des listes et solutions de contrôle parental


De ce point de vue, je n’ai aucun problème, à la seule condition que la configuration par défaut du dispositif fasse apparaître clairement les sites filtrés et qu’aucun site ne soit filtré à l’insu de l’utilisateur. Attention, ceci exclu de fait certaines solutions. Ces listes doivent être lisibles et éditables par l’utilisateur. Aucun site ne doit être placé dans une liste noire à l’insu de l’utilisateur.
Le principe des listes peut convenir mais il est par exemple hors de question qu’une société tierce, comme OPTENET, qui semble avoir des liens affirmés avec les milieux intégristes catholiques et qui a déjà montré en Australie son zèle à filtrer secrètement des sites parfaitement légaux, devienne le garant de ma morale ou de celle de mes enfants. cf : http://bit.ly/be4M7f
« Ces listes (centaines de milliers d’éléments, en général) sont définies et mises à jour par diverses organisations ou groupes d’ordre éthique. » : permettez moi d’en douter, OPTENET équipe aujourd’hui l’éducation nationale et n’est pas un tiers de confiance fiable à mes yeux.

Les problèmes de normalisation au niveau européen


Cette digression sur Optenet me fait sérieusement réfléchir sur une éventuelle compatibilité (et sur le papier elle se doit de l’être) avec les dispositifs européens de filtrage normés (ils devraient l’être au début de l’année 2011). Il va de soi que non seulement je vais m’opposer haut et fort à ce que la France se base, contre les avis de l’AFNOR, sur une norme européenne dont on sait qu’elle a été tronquée par des intérêts privés et qu’elle présente un caractère prêtant à une grande suspicion.
A la veille du vote de l’article 4 de la Loppsi, si nous avons le moindre soupçon de mise en place d’outils un peu trop « polyvalents », nous nous y opposerons fermement et avec les arguments idoines.

Protection antivirale


« Un antivirus car l’application devra se protéger contre les différentes attaques qui ne manqueront pas de surgir contre elle-même. Elle devra détecter des logiciels de contournement, etc. »
Cette définition fonctionnelle me semble erronée.
Il existe déjà des éditeurs proposant des solutions antivirales, je ne comprends pas ce que ceci vient faire dans un dispositif labellisé par la HADOPI. Par définition l’usage d’un antivirus est nécessaire quand c’est trop tard.
Enfin ajouter un antivirus a des solutions antivirales existantes alourdira la charge dédiée à la sécurité de manière inutile en diminuant sensiblement les performances des machines des utilisateurs.

Le coeur du problème : l’analyse dynamique de flux


« Le but de ce module est d’inspecter dynamiquement le contenu entrant et sortant du trafic sur les interfaces du réseau de la machine de l’utilisateur. »
Cette fonctionnalité est dangereuse et ne produira que pour seul effet d’amputer les internautes d’une partie d’Internet.

  • Quid des logs produits ?
  • Quid des protocoles exotiques ou nouveaux non répertoriés par l’éditeur ?
  • Quid du comportement de cette fonctionnalité sur les outils d’anonymisation de trafic (TOR/Freenet) ?

« En cas de découverte d’une configuration atypique, une notification de bas niveau est générée.  »
Là encore c’est très discutable, quid de la défense d’un internaute pour justifier une configuration atypique nécessitée par un usage légal, quid de sa valeur au moment de défendre sa bonne foi ? On s’oriente vers des écueils juridiques où les utilisateurs ont tout à perdre : cette fonctionnalité doit impérativement être indépendamment désactivable

Des mesures de sécurité qui n’en sont pas

Page 24 : « (pas de sécurisation WPA, SSID en clair, routeur avec aucun contrôle sur les adresses MAC des appareils se connectant à lui, etc.) ».

  • Un SSID en clair n’est pas une vulnérabilité (même masqué, un SSID est détectable, ainsi que le BSSID, par de simples outils d’analyse de réseaux sans fil)
  • Un dispositif de contrôle des adresses mac n’est pas non plus un dispositif de sécurité sérieux (il est contournable en 5 secondes).

Leur absense n’ont donc pas à générer d’alerte. Il est même dangereux de définir ces mesures comme des mesures de sécurité car ceci sème le trouble chez certains utilisateurs qui se pensent sécurisés sous prétexte que leur SSID est invisible.

Un point intéressant qui a le mérite d’expliquer clairement les intentions du dispositif

Page 24 : « L’application doit aussi conseiller et guider l’usager pour les divers appareils qui ne sont pas des ordinateurs (lecteur DVD, Boitier multimédia, etc.) mais qui sont susceptibles de posséder des fonctions de téléchargement avec une problématique de contrefaçon. »
Ces dispositifs tendent donc explicitement à limiter les usages de matériels possédant des fonctionnalités de téléchargement. Comme ça c’est clair, l’idée est de « sécuriser contre le téléchargement », mais pas de sécuriser les données personnelles de l’utilisateur. Cette phrase a elle seule discrédite l’ensemble de la démarche, on est plus dans la sécurisation, on est bien dans le registre de la surveillance.

Un point de détail assez amusant

Un peu plus loin (P.27), la solution propose même de « bloquer toutes les connexions ; » … là, vous avez intérêt à avoir une hotline assez sérieuse et ça promet de grands moments…

Contournement du dispositif et contre mesures

La sécurisation des moyens de sécurisation est illusoire, l’histoire nous montre que _tous_ ces dispositifs ont été compromis au moins une fois. L’exploitation à grande échelle est restreinte par la diversité. Si un mécanisme labellisé et donc présent dans toutes les solutions est faillible, le risque d’une exploitation à grande échelle est inéluctable. Un moyen de sécurisation ne saurait réussir à comprendre ce qu’il se passe dans une machine virtuelle, seules des traces « réseau » pourraient apparaître dans les journaux. Si elles sont chiffrées, seul un mécanisme de signature de trafic pourrait permettre de repérer une tentative de contournement et cette perspective est inquiétante et sa pratique généralisée n’est pas souhaitable. Toute approche de reconnaissance de contenus, ne saurait se faire que sur un fondement légal valable et motivé par des faits graves. Par delà les problématiques de priorétarisation de trafic légitime, elle posera à terme des problèmes car il est tentant d’utiliser cette technique pour des causes non légitimes. Nettoyer Internet de contenus copyrightés n’est à mon sens pas une cause légitime et constituerait un détournement non souhaitable de cette technologie.
Je m’inquiète de voir apparaître un dispositif supplémentaire sur les réseaux mobiles, même si ce n’est pas ce qui est clairement expliqué dans le document (page 8). Les réseaux mobiles sont déjà assez filtrés (usage manifeste du DPI) pour que l’on ajoute une couche supplémentaire de filtrage.

En conclusion

Je persiste et signe, l’HADOPI est illégitime dans cette mission, l’intitulé « moyens de sécurisation » est séduisant mais il est trompeur quant aux objectifs. C’est le droit d’auteur qu’on protège en condamnant des usages et non les internautes.
Le risque de voir ces solutions labellisées HADOPI répondre aux normes européennes en font un outil rêvé de contrôle moral et politique basé sur la peur du gendarme, effet renforcé par le délit de négligence caractérisée. Si sur la forme certains points de ce document semblent techniquement corrects, le fond et les motivations de la démarche l’invalident à mes yeux totalement.
Même labellisés, ces moyens de sécurisation n’auront donc pas droit de citer chez moi et je déconseillerai vivement leur installation.

Normalisation européenne d’outils de filtrage du Net : la position de officielle de l’AFNOR

afnor logo
AFNOR

L’AFNOR a souhaité réagir officiellement sur le billet précédent. Relevant plusieurs erreurs le Groupe AFNOR nous apporte quelques précisions tout en réaffirmant ses divergences avec le projet de normalisation européen : « Le député Mignon dit que la norme européenne s’inspire de la norme française. Ce n’est pas exact, les normes française et européenne ont été élaborées complètement indépendamment l’une de l’autre. »

Elle réagit également sur l’adendum de 21h dans lequel je tentais de donner des précisions sur le dispositif de filtrage où j’indiquais (…) elle s’est opposée (au nom de la France) à cette norme expérimentale visant à transmettre les blacklists aux FAI afin de laisser à ces derniers le loisir de filtrer sans que le particulier ne puisse exercer de contrôle de lui même… Mes propos étaient inexacts et l’AFNOR précise sur ce point : « En fait, une des différences repose sur le fait que les logiciels de filtrage définis par la norme française s’installent en local, tandis que les solutions de filtrage définis par la norme européenne sont hébergées à distance mais restent néanmoins activables par l’utilisateur (le parent n’a pas de visibilité sur le contenu filtré, et le risque dénoncé par les experts français est que le contrôle parental s’exerce sur le parent lui-même). La question n’est en tout cas pas de transmettre les listes aux FAI (à noter que la norme européenne s’applique à tout type de solution de contrôle parental, là où la norme française est limitée aux solutions des FAI).
L’AFNOR ajoute également qu’elle ne sait pas quand exactement cette norme est sensée sortir. Elle insiste enfin sur le fait qu’elle ne participe plus au projet de normalisation européen : « A noter que dans le cadre de la création de la commission pour élaborer la norme expérimentale française les français ont commenté la norme européenne en 2009, mais qu’il n’y a plus en 2010 aucune commission AFNOR active, donc à ce jour aucune délégation française au niveau européen.»

Le Comité Européen de Normalisation n’a pas souhaité transmettre le document de cette norme et n’a pas non plus souhaité transmettre les noms des personnes participant à cette commission sur les outils de filtrage. L’opacité est donc, pour le moment, totale au niveau du CEN.

De nombreuses zones d’ombre subsistent concernant le rôle exact d’OPTENET au sein du comité comme sur ses inclinaisons à être tentée de filtrer des sites parfaitement légaux. Un exemple concret est le filtrage en Australie de sites informatifs sur l’interruption volontaire de grossesse, OPTENET proposait l’une des deux solutions gratuites de filtrage mises à disposition par l’ACMA. Le risque de voir un filtrage du Net opéré par une entreprise proche de milieux intégristes catholiques, normalisant des moyens techniques et définissant ce qui doit être filtré ou non dans la plus grande opacité, est donc plus que jamais d’actualité.

L’ombre de l’Opus Dei plane sur le projet de normalisation européen du filtrage du Net

opus dei
Opus Dei

Aujourd’hui suite à un tweet de @manhack je découvre, dans une réponse du gouvernement que l’AFNOR et son pendant espagnol, l’AENOR plancheraient sur un projet de normalisation de dispositifs de filtrage du Net. Il me faut un petit temps, quelques recherches sur le Net, deux trois coups de fil… et hop, l’évidence est là, sous mes yeux. Quelque chose d’assez pestilentiel plane dans cette histoire de filtrage, creusons un peu cette nébuleuse où s’entremêlent business, politique, contrôle du Net, sectes et lobbying. Une entreprise de sécurité informatique liée à une secte, ce n’est pas quelque chose de nouveau, on se rapelle par exemple de l’éditeur antivirus Panda Software et de ses liens avec l’Église de Scientologie. Nous allons donc tenter de comprendre un peu mieux le background de ce projet de normalisation pour tenter d’y voir un peu plus clair.

Dans la réponse faite au député Mignon, on peut lire « La version expérimentale de cette norme a été publiée par l’AFNOR en janvier 2010. Elle sera présentée devant le bureau technique du Comité européen de normalisation dans le cadre du comité de projet « Filtrage Internet » (Project Committee « Internet Filtering »). Ce comité est animé par l’Agence espagnole de normalisation (AENOR). La publication d’un premier document européen est envisagée d’ici la fin de l’année 2010. Par ailleurs, le secrétariat d’État à la famille et à la solidarité soutient des actions de sensibilisation et d’éducation aux médias menées par des associations tant auprès des jeunes dans les établissements scolaires que des parents. »

L’affaire remonte à 2006, OPTENET, une société d’origine espagnole est accusée d’avoir extrait les listes d’accès d’une solution de contrôle parental d’origine française, celle de la société XOOLOO. Au milieu de cette affaire, on trouve également le nom de grands FAI : ORANGE (à l’époque WANADOO / NORDNET à qui nous devons par exemple un certain failware HADOPI), CLUB INTERNET et TELECOM ITALIA. ORANGE aurait laissé fuiter les listes d’accès (constituées manuellement par la société XOOLOO)… négligence caractérisée ou intention délibérée, même si j’ai bien ma petite idée sur les modalités d’extraction de ce genre de liste, je ne suis pas dans le secret des dieux. Sachez simplement que c’est la solution de XOOLOO qui était intégrée à l’offre Securitoo commercialisée par Wanadoo sur abonnement et packagée par NORDNET… on ne change pas une équipe qui gagne.

Le scandale éclate en mai 2007 dans les pages de Libération qui nous apprend dans un article intitulé « Optenet, chapelle de l’Opus Dei » les liens étroits entre OPTENET et l’Opus Dei, je cite :

« Optenet, créé en 1997, s’appelait avant Edunet. Son siège est à San Sebastián. Elle emploie aujourd’hui «130 professionnels» et possède des antennes en Europe, au Brésil, au Mexique et aux USA. En France, Optenet Center compte parmi ses membres fondateurs Alberto Navarro Mas, gérant de la SARL. Il pilote le bureau d’Optenet à Paris. C’est aussi le gérant des éditions Le Laurier, spécialisées dans les publications de l’Opus Dei, et sise au 19, rue Jean-Nicot, à Paris. Cette ruelle du VIIe arrondissement abrite au numéro 6 le centre Garnelles, le plus fréquenté des treize lieux de rencontre gérés par l’Opus Dei à Paris. C’est à cette adresse qu’est domicilié professionnellement Alberto Navarro Mas. C’est là aussi qu’est domiciliée l’Acut (Association de culture universitaire et technique), considérée comme un des satellites de l’Opus Dei. »

Niant tout lien avec l’Opus Dei, OPTENET s’offre un droit de réponse peu convainquant suite aux révélations de Libération.

En fouillant un peu plus on trouve sur Légalis un résumé complet du feuilleton, l’histoire est passionnante, on y apprend que Xooloo a mis trois ans pour constituer sa base de données de sites filtrés alors qu’Optenet ne mettra que quelques semaines, l’usage d’un crawler est soupçonné. Concernant la fuite de la base de données, Orange est accusé de complicité par la société XOOLOO.

« Attendu que France Telecom n’apporte pas la preuve qu’elle avait reçu l’autorisation de Xooloo pour fournir à Optenet la base cryptée de Xooloo, le tribunal dira qu’en agissant ainsi, France Telecom a eu une application fautive du contrat, qu’elle s’est mise en contradiction avec l’article L.342-1 du code de la propriété intellectuelle et que les moyens présentés par France Telecom pour démontrer qu’elle a exigé d’Optenet des garanties de confidentialité sont inopérants, »

En fouillant même encore un peu plus, il semble que la base de données de XOOLOO, remixée à la sauce OPTENET, se soit vue intégrer des sites dont les contenus n’ont pas de caractère choquant, les critères semblent tout de suite plus « religieux » qu’en rapport avec la protection de l’enfance.

En 2009, on retrouve XOOLOO et OPTENET, aux côtés d’associations de protection de l’enfance (Droit@l’Enfance, E-Enfance, Action Innocence), à l’AFNOR, pour définir une ligne directrice en vue d’une normalisation des solutions de contrôle parental.

Aujourd’hui, je dois vous avouer que l’implication OPTENET dans ce projet me laisse particulièrement perplexe sur les motivations profondes de normalisation des outils de filtrage demandée par Nadine Morano alors en charge de ces questions. Fabrice Epelboin avait mis en garde sur une dérive puritano religieuse de l’exploitation des questions de filtrage du Net, il semble qu’en Europe, elle revête un caractère carrément sectaire, je ne suis qu’au début du fil, et quand je tire, je sens bien la pelote… OPTENET semble très actif dans le lobbying européen relatif aux questions de l’enfance et ses solutions sont assez reconnues pour s’être même vues décerner une récompense européenne, le prix IST de l`innovation (Information Society Technology) par la Commission Européenne. Au niveau français, OPTENET, arbore aussi le logo officiel du ministère de l’éducation nationale. Vu le passif de la société, j’ai le sérieux pressentiment que ça ne sent pas bon du tout.

J’espère en avoir assez dit pour vous donner l’envie de creuser un peu plus le sujet, comme d’habitude, je vous invite à faire vos propres recherches et à être particulièrement vigilants sur cette histoire qui présente tous les ingrédients d’un bon gros scandale. Nous ne pouvons pas laisser un sujet aussi grave et sérieux que la protection de l’enfance devenir une porte d’entrée à une dérive sectaire au plus haut niveau européen, dont le cheval de bataille serait le filtrage du Net.

Si vous avez du temps, n’hésitez pas faire des recherches et à remonter des informations suspectes, mon petit doigt me dit qu’on en est qu’au début.

EDIT : 21h00

  • J’ai contacté l’AFNOR qui a répondu en toute transparence à mes questions, sa position est claire, elle s’est opposée (au nom de la France) à cette norme expérimentale visant à transmettre les blacklists aux FAI afin de laisser à ces derniers le loisir de filtrer sans que le particulier ne puisse exercer de contrôle de lui même (DNS Menteur). Cette norme expérimentale est sensée être adoptée en Janvier 2011.
  • En continuant mes recherches, j’ai découvert que la solution d’OPTENET était l’une des deux solutions gratuites (avec la solution SAFE EYE) proposées par le gouvernement australien. Là bas, les listes de filtrage ont fait grand bruit puisque comme on s’en doutait, on y trouvait aussi des sites dont la nature n’avait pas un caractère répréhensible par le droit australien.
  • En grattant encore, on trouve assez simplement ce billet. On y apprend que OPTENET se nommait autrefois EDUNET. Sur son site, EDUNET proposait des contenus pour le moins assez particuliers comme ces pages : http://web.archive.org/web/20031210143415/www.edunet.es/ideas/index.htm qui ne sont plus en ligne mais que l’on retrouve avec Webarchive. On y apprend que selon cette société, l’homosexualité est une maladie qu’on attrape à la naissance ou plus tard : http://web.archive.org/web/20031005032609/www.edunet.es/ideas/homosexu.htm (point n°6).
  • Au niveau français, OPTENET semble compter l’éducation nationale parmi ses clients et arbore fièrement le logo du ministère sur l’un de ses sites : http://www.education.optenet.fr/
  • Je cherche maintenant des traces sur un éventuel conflit d’intérêts au niveau de la commission de normalisation européenne sur ces dispositifs de filtrage : à son plus haut niveau, on retrouverait encore OPTENET.

HADOPI : La riposte graduée est morte comme le Disco

discoIl en aura fallu du temps pour faire comprendre à certains ne serait-ce que 10% de la bêtise du mécanisme de riposte graduée… Mais apparemment, ça commence, petit à petit, à rentrer. Si certains députés de la majorité (en plus de ceux de l’opposition) s’étaient déjà clairement opposés à la riposte graduée, soulignant le caractère liberticide et injuste, l’infaisabilité technique et le gouffre financier qu’allait représenter son application, on gardera à l’esprit que le texte est passé comme une lettre à la Poste, ce après une censure au Conseil Constitutionnel. L’avertissement du  Conseil des Sages n’avait pas été jugé suffisant… quelle monumentale erreur.

Aujourd’hui, la riposte graduée semble avoir du plomb dans l’aile

Commençons par la député Marland-Militello qui quelques semaines après avoir demandé à ce que 2 millions de plus soient accordés à la HADOPI dans la loi de finance 2011,  veut maintenant mettre l’accent sur le volet préventif, à savoir l’offre légale… ça, c’est nouveau, et passé le style stalinien qui caractérise sa prose, toujours à la gloire du chef, la député Marland-Militello appelle maintenant à un gèle de la riposte graduée à l’étape 1 tant que l’offre légale est insatisfaisante, ce qui nous fait, comme nous l’avions prévu dés le début… 12 millions pour une machine à spam, la classe !

Ce dont la député Marland-Militello ne semble pas prendre la mesure, c’est que cette offre légale, tant que les majors n’auront pas remis leur stratégie en question… elle n’est pas prête de voir le jour… et donc l’HADOPI n’est pas prête de passer à l’étape 2, le courrier recommandé.

La « révolution culturelle et éthique » dont parle la député Marland-Militello dans son dernier billet est donc bien en marche… mais à reculons.

Du consensus à « l’auto désaccord de l’Elysée avec lui même »

Plus sérieusement maintenant, le Nouvel Obs et 20 Minutes rapportent que selon le député Tardy, Nicolas Sarkozy lui même aurait évolué sur les questions numériques. La scène s’est jouée à huis-clos devant des députés de la majorité, le chef de l’Etat aurait exprimé des doutes sur le cap de sa politique numérique. Sans jamais la nommer, Nicolas Sarkozy semblait implicitement faire référence à l’HADOPI, identifiant un nouvel ennemi, cette fois ci clairement désigné, à savoir Google.

«Nicolas Sarkozy a parlé d’Hadopi sans la nommer, mais pour une fois ce n’était pas pour la vanter, mais pour dire que le texte avait été difficile à adopter et qu’il y aurait pas mal de choses à revoir sur le numérique» rapporte le député. Et d’ajouter : «J’ai l’impression qu’il y a une vraie prise de conscience du chef de l’Etat sur le numérique, qu’il est en train de se dire que c’est un vrai sujet et qu’il va falloir l’aborder autrement que par le seul côté répressif (… ) Peut-être qu’il se rend compte que ce n’est pas à l’échelle de la France que ça se joue. Ce serait intéressant qu’il en fasse une question internationale ».

Ce mea culpa Élyséeen, c’est bien… mais c’est trop tard

Tout ce temps perdu pour en arriver à la conclusion que nous venons de perdre encore 3 ans. Pendant ce temps, Google, lui, a préparé sa riposte non graduée à l’industrie du disque, et ça va faire mal… très mal. La taxe Google revient donc sur la table. Taxer les services en ligne est une idée assez étrange, une sorte de cyber protectionnisme alors que notre industrie culturelle n’a absolument rien à y opposer… pourquoi pas, mais permettez moi de douter. Usuellement, quand on prend des mesures protectionnistes, c’est qu’on a une offre équivalente à mettre en avant… nous on a tellement même pas de quoi faire illusion, que c’est encore le contribuable qui s’y colle.

Aujourd’hui, je dois vous avouer que j’ai les yeux rivés sur la « majorette » EMI que l’on sait assez mal en point. EMI intéresserait fortement Warner Music. Si Warner parvenait à se porter acquéreur d’EMI, il ne resterait donc plus que 3 majors pour se partager le gros du catalogue mondial. Warner  offrirait 750 millions de dollars à Terra Firma Capital Partners, principal actionnaire d’EMI et le plus gros créancier de la majorette, Citigroup, pousserait également Terra Firma Capitals Partners à céder ses parts. Il ne resterait donc plus, si ce rachat venait à se concrétiser, que Sony (qui avait déjà croqué BMG), Universal Music (Vivendi), et Warner Music Group dont le titre boursier a pris presque 7% depuis le jour de la propagation de la rumeur… Et ça pour l’industrie du disque, c’est dans le meilleur des cas…

Devinez ce qui arriverait si Apple, qui détient déjà la plateforme de distribution (iTune), ou Google qui a des vues manifestes sur les contenus musicaux, se décidaient à faire une offre pour croquer EMI. Ceci sonnerait tout simplement le glas de l’industrie du disque « à la papa » à laquelle l’ami Pascal tente de se raccrocher comme il le peut.

Le combat n’est cependant pas terminé

Maintenant que la conséquence semble vouée à une petite mort, il va falloir se débarrasser de la cause. Le délit que sanctionne la riposte graduée est bien pire que la riposte graduée elle même, la contravention pour négligence caractérisée DOIT être purement et simplement supprimée du texte de loi. Le défaut de sécurisation de l’accès Internet reste d’une bêtise sans nom et fait planer le spectre d’une sanction sur les plus vulnérables. Ce n’est pas acceptable et nous ne l’accepterons pas.

La rémunération des créateurs est toujours la grande oubliée

HADOPI n’a trompé personne, les auteurs n’ont jamais eu à y gagner quoi que ce soit, et ça commence aussi à se voir. D’ailleurs, ça se voit tellement que le législateur veut maintenant taxer de manière outrancière les gros bénéfices d’une industrie qu’HADOPI était sensée sauver d’une mort certaine… du grand n’importe quoi. Taxer les bénéfice d’une industrie en crise ? Vous le voyez mieux l’impact du piratage sur cette industrie maintenant ?

Et pendant ce temps, les créateurs, eux, sont toujours victimes de l’opacité de la redistribution de la taxe sur la copie privée et victimes des conditions financières des majors qui ont surtout profité du virage numérique pour manger encore plus de marge sur les oeuvres vendues une fois dématérialisées.

Tout ça pour ça…

/-)

Musique : Google Lab India vous offre le catalogue Hindi

Google India Music Search

S’il y a bien une entreprise qui se contrefiche de la labellisation de l’offre légale de l’HADOPI et qui doit doucement rigoler en observant l’industrie du disque se débattre pour continuer à essayer de vendre des galettes en plastique, c’est bien Google. Au hasard d’un surf et comme il m’arrive d’apprécier la musique Hindi, je suis tombé sur quelque chose qui devrait faire frémir nos moines copistes de CD franchouillards, et je dois vous avouer que ça me fait beaucoup rire.

Le Google Lab India ne vous offre pas moins que l’intégralité du catalogue hindi en srtreaming, c’est juste énorme pour tous les amateurs de Bollywood, de pop Hindi et de musique Tamoule ou indienne traditionnelle. Alors qu’en France tout le monde a les yeux rivés sur Apple et l’iTune Store, Google, en partenariat avec les sites in.com, Saavn et Saregama, ouvre le catalogue culturel d’une population d’1,2 miliard d’habitants… Voilà ce qu’il est possible de faire quand on est un minimum cortiqué et qu’on a pas en face de nous des dinosaures qui tentent bêtement de s’accrocher à leur rente au lieu de faire leur métier :  découvrir de nouveaux talents.

Et moi de mon côté je suis heureux de pouvoir réécouter légalement des ragas de Nikhil Banerjee que j’ai encore en cassettes achetées à La Chapelle, à côté de la Gare du Nord à Paris, il y a plus de 20 ans et que je pensais ne plus jamais pouvoir entendre vu que j’ai plus rien pour les lire.

Pas besoin de carte musique jeune en Inde, même si Google spécifie sur son site que pour le moment, seul le catalogue Hindi est disponible… à bon entendeur. On imagine aisément ce modèle se décliner sur d’autres pays, en Amérique du sud ou en Afrique, à tel point qu’un jour ou l’autre le catalogue à la René la Taupe matraqué à la TV risque de paraître bien fadasse aux internautes.

J’en connais qui vont pas la voir venir, qui vont la sentir passer, et qui vont encore pleurer dans pas longtemps.

Tumblr Vs 4Chan

tumblr raid
Raid sur Tumblr

Depuis plusieurs heures maintenant, les sites 4chan et Tumblr se livrent une guerre à coup de dénis de service. Selon le site Urlesque, il semble que la querelle aurait pour origine une pratique des utilisateurs de Tumblr (un réseau social de blogging) qui posteraient des contenus tiers sans en citer la source, en l’occurrence 4chan : « These hipsters constantly steal our memes and claim them as their own, » écrit un utilisateur sur la board.

4chan est une immense board sur laquelle des millions de contenus sont postés, ses utilisateurs sont aussi connus pour être assez chauds quand il s’agit de balancer un raid. Bilan, les deux sites sont indisponibles et se livrent une guéguerre assez musclée. Les 4channers auraient prévu de se créer des comptes sur Tumblr, d’ajouter un maximum de contacts, afin de les inonder d’images de mauvais goût. Des comptes d’utilisateurs assez populaires de Tumblr auraient également été piratés.

Visiblement, tout ceci a très vite tourné au déni de service et à l’heure actuelle les deux sites sont indisponibles. Dans un cas comme dans l’autre tout le monde y perd, et les aficionados de la /b/ et les utilisateurs de Tumblr.

Mes deux nouveaux ministres

Un gouvernement qui tourne en rond

Le casting vient de tomber, j’ai deux nouveaux ministres, je suis super content ! Du coup je me suis dit que j’allais partager ça avec vous.

Au numérique, c’est le grand retour d’Eric Besson qui pensait s’en tirer en refilant la patate chaude et son plan Numérique 2012 à NKM, où sur le papier, la France était leader du monde des Internets avec du très très haut débit dedans. Ça aurait pu être bien pire, Internet conserve une représentation politique. Là vous vous dites « super, je vais pouvoir créer ma startup, j’ai un ministre »… ne t’enflamme pas jeune padawan, si tu veux créer ta startup, tu auras un autre ministre, et c’est Frédéric Lefèbvre qui récupère l’artisanat et les PME, en plus du tourisme (histoire de ne pas trop le dépayser). Ajoutons à ça un coup de rabot sur le statut des jeunes entreprises innovantes… ça te donne envie hein ? Moi aussi … de délocaliser.

Si le retour d’Eric Besson n’est pas le coup de théâtre du siècle, j’ai beaucoup de mal à m’expliquer la nomination de Frédéric Lefèbvre, peut être une manère pour la présidence de remercier un fidèle parmi les fidèles en quête de mandat.

… Ça va être long jusqu’en 2012.

Qu’est ce qu’Internet a à perdre du remaniement ministériel ?

remaniement ministériel
Remaniement ministériel in progress

Selon toute vraissemblance, nous devrions connaître dans les prochaines heures, ce dimanche, la composition du nouveau gouvernement. Le site officiel affiche d’ailleurs en ce moment une page de maintenance avec un message annonçant la démission du gouvernement.

Démission du Gouvernement

Le samedi 13 novembre 2010
En application de l’article 8 de la Constitution, M. François Fillon a présenté au président de la République la démission du gouvernement.
Le président de la République a accepté cette démission et a ainsi mis fin aux fonctions de M. François Fillon.
Source : communiqué de l’Elysée

Ce remaniement pourrait bien changer pas mal de choses pour notre « Internet français »… et pas qu’en bien. Il y a un sérieux risque que le Secrétariat d’État à l’Économie Numérique passe dans les mains de son ministère de tutelle, celui des finances et de l’industrie.

En passant sous la responsabilité directe du ministère des finances et de l’industrie, à cette période charnière où la transposition dans le droit français du paquet Télécom (par décret) pourrait bien sceller la petite mort de la neutralité du Net, on assiste à l’abandon d’un trésor culturel aux mains des lobbys industriels,  qui ont tous un intérêt à venir à bout des fondemmentaux qui ont permis à l’Internet de devenir ce qu’il est aujourd’hui.

Neutralité, ouverture et partage, 3 notions fondatrices, complètement antinomiques avec une gouvernance de Bercy. En clair, ça sent salement l’erreur de casting. Non pas que Christian Estrosi qui devrait être reconduit à son ministère soit incompétent en la matière mais j’ai un sérieux doute sur la capacité de Bercy à prendre l’Internet pour autre chose qu’un temple de la consommation qu’il faut impérativement réguler afin que les industriels le façonnent à l’image de ce qu’ils ont à vendre. Ce sentiment est évidemment renforcé par les conclusions de la consultation sur la neutralité où Bercy, tirant les ficelles, a accouché d’une copie conforme des positions d’Orange et SFR, deux fournisseurs d’accès qui réfutent jusqu’à la notion même de neutralité en plaidant pour un « Internet ouvert », et plsu discrètement, de l’une des entreprises qui a économiquent intérêt au filtrage du Net, Alcatel… un pléonasme s’inscrivant dans une stratégie d’enfumage qui masque mal que ces deux FAI sont avant tout des éditeurs de contenus. Ce mélange des genre a bien évidemment la bénédiction de Bercy, et là dessus croyez moi sur parole, le Net a tout à y perdre.

Abandonner Internet à des gens qui ont tout intérêt à le transformer en minitel, voilà ce que nous risquons.

Quand on connait le zèle de Christian Estrosi sur les questions sécuritaires et répressives tout ça est particulièrement préoccupant, rappellons que le ministre par ailleurs maire de Nice a récemment inventé la « vidéoprune », un usage détourné de la vidéo « protection » qui montre bien l’hypocrisie du terme et surtout la dangerosité de voir une justice automatisée se mettre en place. Vous n’avez surement pas manqué de noter que l’argument roi pour toute atteinte à la neutralité des réseaux (ou à la liberté en général), c’est la sécurité. Pas la sécurité comme je peux l’entendre moi ou vous les geeks qui lisez ces lignes, mais la sécurité autoritaire et répressive visant directement à amputer le Net de fonctions, de contenus, de services, de protocoles…

Autre sujet bouillant qui passerait sous la responsabilité de Bercy, la loi d’orientation et de programmation pour la sécurité intérieure (ou LOPPSI 2) qui semble avoir été mise en standby en attente de ce remaniement. Là encore, si Christian Estrosi est maintenu, nul doute qu’il s’appliquera à faire passer les mesures les plus contestables (celles que l’on trouve dans l’article 4 du projet de loi) relatives au filtrage.

Internet mérite mieux que Bercy, Internet mérite son propre ministère, c’est là la seule manière de lui assurer des perspectives d’évolutions cohérentes.

iHackLaw: et si on ouvrait les données de Légifrance ?

L’Open Data ou l’ouverture des données citoyennes est l’un des nouveaux enjeux de l’administration française. De nombreuses données publiques sont assez difficilement accessibles, même si elles sont en ligne.

Nous avons donc décidé aujourd’hui avec les ours de Bearstech de releaser iHackLaw, une petite API très simple qui ne demande qu’à être enrichie de vos contributions, pour s’inscrire dans la dynamique lancée entre autres par des collectifs citoyens d’advocacy comme la Quadrature du Net ou Regards Citoyens.

iHackLaw se concentre sur les données du site Legifrance.gouv.fr et cette première contribution devrait par exemple à terme permettre à des juristes de se créer aisément un outil de veille, ou même à des entreprises, soucieuses d’être informées de l’évolution de la législation sur leur métier, de s’offrir un outil à la fois simple, utile et technologiquement souple. Le code de cette API peut évidemment servir pour d’autres sources de données.

iHackLaw est libre, sous licence BSD, libre à vous de vous amuser avec, d’améliorer le code, de vous en servir pour créer une application mobile métier.