Je ne pensais pas avoir un jour à me poser cette question : faut-il que le législateur intervienne pour préserver un semblant de neutralité des réseaux ? J’ai plus de 15 ans de net derrière moi, mes Internets à moi se portent très bien et j’ai un peu de mal à me figurer que le fait que des politiques s’en mêlent puisse apporter quoi que ce soit de positif. Cette question m’est simplement venue au détour d’un tweet de Ludovic Penet (si vous ne le connaissez pas encore et que ces questions de neutralité vous intéressent, faites chauffer votre reader RSS, le monsieur sait de quoi il parle et il en parle très bien).
Tout est parti de ce billet où je revenais sur la réponse de CCIA à la consultation de l’HADOPI sur les moyens de sécurisation. Les poids lourds du Net (Yahoo, Google, Microsoft, Facebook…) mettaient les deux pieds dans le plat en contestant la légitimité de l’HADOPI dans sa mission toute neuve de sauver les internautes des méchants pirates qui utiliseraient leur connexion Internet pour downloader le dernier Lady Gaga. Dans ce billet, je m’amusais un peu de voir ces géants du Net se réveiller 2 ans après la bataille alors que Christine Albanel criait à qui voulait bien gober ses sornettes, que les accords Olivennes, à l’origine de la loi création et Internet, étaient issus d’un large consensus. Manque de bol, il semblerait que les principaux acteurs du Net (les internautes, les grosses entreprises du Net, ou encore l’ASIC) n’aient pas été invités à participer à ce large consensus… et oui, un consensus c »est toujours plus simple quand on est tous d’accord avant de commencer à causer… évidemment il y en a toujours un pour l’ouvrir mais quand on a une licence 3G à troquer, c’est assez simple de le faire plier. Le soucis c’est qu’une fois votée, il faut bien l’appliquer cette loi… et c’est là qu’on s’étonne de voir des entreprises, comme Google, Yahoo ou Microsoft, que l’on pensaient toutes « consensualisées à mort », fustiger de manière véhémente le produit direct de ce consensus… voilà pour le contexte.
La discussion de fond maintenant
Quand Ludovic a réagi à ce billet, il m’a fait remarquer que je soutenais implicitement une atteinte à la neutralité. Je n’aurais pas relevé si ceci ne venait pas de Ludovic. S’il dit ça, c’est qu’il y a forcément un fond de vérité et quelque chose aurait donc échappé à mon analyse… ok, creusons.
Attention, sur les questions de neutralité, Google, Microsoft et Yahoo ou Facebook ne sont certainement pas à mettre à la même enseigne. Quoi qu’on en dise, Google s’est toujours montré très respectueux de la neutralité du Net, et pour cause, c’est en grande partie grâce à cette neutralité que Google est devenu ce qu’il est… et que d’autres, un jour, pourront aspirer à le détrôner. A contrario, Microsoft a très longtemps mené une politique de fermeture, il aura par exemple fallu attendre 2010, pour que dans sa grande mansuétude, Microsoft se décide à faire un navigateur qui respecte les standards du W3C.
Ce que Ludovic voulait me faire remarquer, c’est que tout ce petit monde a forcément un intérêt à être contre toute régulation. Les sociétés privées ont envie de continuer à tenir les rennes, à innover et à… brider un peu à leur manière le Net pour diriger les utilisateurs sur leurs services et pas celui du voisin… Et oui, Ludovic à raison, mais je reste assez perplexe, quelque chose me chiffonne dans ce raisonnement…
Toujours est-il qu’en désignant HADOPI comme illégitime dans sa mission de spécification d’un logiciel de sécurité labellisé et créant une incitation légale à acheter tel dispositif plutôt que tel autre, la CCIA met le doigt sur une entrave à l’innovation et sur un petit soucis de distorsion concurrentielle assez intéressant. Or la CCIA oppose cet argument qui est de dire que dans une société qui se dit libérale, on laisse le marché faire, on ne lui impose pas de ligne directrice susceptible de nuire à l’innovation et d’entraver la concurrence. Je vois par exemple assez mal la HADOPI préconiser le pare-feu par défaut de Windows comme une solution fiable de protection, mais est-ce bien l’efficacité de la protection des utilisateurs qui est recherchée par la HADOPI ? N’est-ce pas plutôt la protection du droit d’auteur qu’elle cherche à protéger en incitant vivement l’utilisateur à installer un moyen de sécurisation ?
Alors on régule ?
Au moment où je suis en train d’écrire ces mots, je n’ai pas la réponse à cette question et bien malin celui qui peut m’en donner une parfaitement argumentée. En revanche j’ai quelques observations assez factuelles à formuler :
- Premier constat : avant que les politiques ne commencent à y mettre leur nez, le Net fonctionnait très bien sans eux, ouvert et neutre, personne ne se posait d’ailleurs la question il y a une dizaine d’années, on bouffait du kilo-octet tout neutre et ça ne perturbait personne.
- Second constat : en France, TOUTES les lois qui concernent Internet ont eu pour seul effet (voulu ou pas) d’entraver son ouverture et sa neutralité au bénéfice de quelques uns et au détriment du plus grand nombre.
- Troisième constat : les atteintes à la neutralité sont jusque là du fait de deux entités, il s’agit soit d’états, soit de FAI (systématiquement du côté de ceux qui détiennent des infrastructures… en toute logique). Un état porte atteinte à la neutralité généralement pour de mauvaises raisons (fliquer ou materner sa population), les FAI, eux, le font pour des raisons économiques.
Il y a deux points capitaux qu’il semble donc de bon ton de dissocier :
- l’infrastructure (les tuyaux)
- et les services (le contenu).
Nous avons une particularité en France, c’est que ceux qui détiennent les infrastructures sont également éditeurs de contenus. Il est donc facile de comprendre, partant de là, qu’un opérateur préfère qu’on utilise SON infrastructure pour accéder à SES contenus plutôt qu’à ceux des voisins… et comme tous les éditeurs de services ne sont pas FAI, le rapport de force peut très vite tourner en la défaveur des entités qui ne possèdent ou n’ont accès à aucune infrastructure.
Je vois ici 3 issues possibles :
- On régule en interdisant aux FAI d’être éditeurs de contenus (on peut toujours rêver).
- On régule uniquement au niveau des infrastructures physiques, particulièrement si elles sont financées tout ou partie par des fonds publics. Il s’agirait d’inscrire dans la loi que n’importe quel acteur puisse accéder à ces infrastructures pour délivrer un service, qu’il soit local ou national. C’est de loin la solution la plus séduisante à mon sens et c’est surtout celle qui répond le plus intelligemment à cette problématique complexe.
- On ne régule rien du tout et on laisse faire.
De ce que j’ai vu en 5 ans d’acharnement des politiques pour tenter de briser cet espace de liberté qu’est Internet (à coup de filtrage, blocage, croisade contre l’anonymat, ou encore cette escroquerie intellectuelle du droit à l’oubli numérique) m’incite à penser qu’on ferait mieux d’attendre que certains de nos élus ne prennent leur retraite avant que l’on envisage de pondre une loi sur la neutralité du Net… au risque de se retrouver soit avec un texte qui n’a ni queue ni tête, à l’image d’HADOPI, soit avec une super occasion pour l’Elysée d’officialiser la fin en grande pompe d’un Internet neutre, outil indispensable à l’exercice de la liberté d’expression… pour paraphraser le Conseil Constitutionnel.
Un marché de la sécurité complexe
Il faut d’abord distinguer les solutions qui s’adressent aux FAI, aux grandes entreprises, aux PME, puis aux particuliers. On distinguera également les solutions matérielles des solutions logicielles… et les charlots des gens sérieux mais ce n’est pas trop le débat. Nous allons nous concentrer sur deux niches :
- Les solutions de sécurité ISP class : je parle ici de solutions, souvent matérielles (firewall/routeurs de service…), visant à prémunir le réseau des fournisseurs d’accès d’attaques diverses (dénis de service, vagues de spam, propagation de vers…). Ici, les solutions dites de Deep Packet Inspection ont une utilité certaine car elles servent le bon fonctionnement du réseau en luttant contre des attaques susceptibles de le perturber. Concrètement, des sondes ou des routeurs de services reconnaissent les signatures des attaques et stoppent leur acheminement. Le marché du DPI représente à horizon 2013 environ 1,5 milliards de dollars à lui tout seul. Un routeur de service capable de traiter un flux terabit coûte entre 120 et 250 000 euros. Là si vous m’avez bien lu, vous devez comprendre tout de suite que tout ce qu’on raconte sur le DPI est entièrement faux… fliquer toute le population française ne reviendrait certainement pas des centaines de millions d’euros… à la louche ça doit coûter entre 10 et 15 millions d’euros, à peine la moitié de ce que le gouvernement vient de mettre dans la carte musique jeune.
- La sécurité des particuliers : là par contre, il faut bien l’avouer, c’est le Far West. L’offre se concentre principalement autour d’un système d’exploitation, Microsoft Windows qui en bon leader est le plus attaqué. Et sur Windows, on trouve de tout : antivirus, firewall, solutions de contrôle parental, solutions anti fishing… Open Office …. De ces solutions nous en retiendrons principalement 2 vu que toutes les autres peuvent être remplacées par un usage simple du cerveau (user side). Nous conserverons donc l’antivirus et le firewall. L’antivirus étant par définition utile quand c’est déjà trop tard (une fois que la machine est infectée), il nous reste le firewall qui contrôle ce qui rentre et ce qui sort de la machine.
Ici, on s’interroge donc sur quel(s) type(s) de solution(s) la HADOPI va pouvoir jeter son dévolu. Procédons de manière simple en nous remémorant ce que stipule le texte de loi : « moyen de sécurisation de l’accès Internet« … et ben on est pas dans la merde. On ne vous demande pas de sécuriser votre ordinateur, ni votre box… mais votre « accès Internet ». Si l’HADOPI veut prendre le texte au pied de la lettre, je vois assez mal comment elle pourrait ne pas se laisser tenter par compléter le dispositif de sécurisation situé chez l’utilisateur par un autre dispositif, placé sur le réseau de l’opérateur, et qui viserait à « dépolluer » l’Internet ou policer les internautes.
La CCIA s’inquiète donc à juste titre car de tels outils, par exemple à l’échelle d’un cloud ou pour du du Software as a Service (SaaS)… on a beau jurer par tous les grands dieux que le filtrage que c’est totalement transparent… et bien permettez moi d’en douter. Jean-Paul Smets de la société Nexedi a déjà mis en garde à ce sujet après une expérience grandeur nature contre son gré, suite à la mise en place d’un filtrage par Eircom en Irlande : “il y a deux semaines environ, nous avons constaté que l’accès aux serveurs d’application en France s’était dégradé de façon inimaginable pour l’un de nos clients situé en Irlande. Nous sommes ainsi passé d’un temps d’accès de 1/2 sec à 4 sec.” (…) “Ce que nous avons remarqué, c’est que cet incident est arrivé au même moment que le filtrage mis en place par le fournisseur d’accès Irlandais Eircom que notre client utilise” .
L’invective de la CCIA me semble donc parfaitement légitime, ce qu’elle demande c’est un laissé faire, mais là où je vais rejoindre Ludovic, c’est qu’il ne faut pas non plus que ce laisser faire se transforme en laisser aller.
La vaste escroquerie des services gérés.
Après des années années de « ranafout' » voici que les fournisseurs d’accès s’intéressent maintenant à l’acheminement de communications prioritaires. Et là comment vous dire ça sans ménerver… cette histoire de services gérés qui nécessiteraient l’usage d’outils comme le QoS et le trafic shaping afin de préserver l’usage d’un service (dans 99,99% des cas, payant) au détriment d’autres services (dans 100% des cas gratuits oui dans lesquels le FAI n’a rien à gagner), est dans certains cas une splendide escroquerie intellectuelle. Si pour l’Internet filaire on ne rencontre pas encore de manifestations inquiétantes de FAI trop zélés, il en est tout autrement sur les services d’accès à l’Internet mobile
Non vous ne me ferez pas croire qu’il est nécessaire, sur le réseau d’un opérateur mobile, de filtrer la voix sur IP ou que le surf en tethering, sous prétexte que cela consomme de la bande passante et met en danger le bon fonctionnement d’un réseau 3G. La vérité est toute autre, si la VOIP ne fonctionne pas c’est que l’opérateur mobile est avant tout un opérateur téléphonique qui se rémunère à prix d’or sur un réseau qui ne lui coûte quasiment rien. Ce même opérateur, pour que vous puissiez utiliser votre navigateur de votre ordinateur en 3G, préfère évidemment que vous achetiez chez lui une clef 3G avec un abonnement dédié alors que votre téléphone peut tout à fait remplacer votre clef 3G. Bref, ces opérateurs se foutent complètement de vous. Pas convaincus ? Alors expliquez moi pourquoi tous proposent des abonnements mobiles GSM/3G /EDGE (aux environs de 2 fois le coût d’une connexion ADSL) qui vous proposent de la TV en illimité sur les réseaux 3G. La vidéo, streamée est évidemment bien plus consommatrice de bande passante que surfer sur le web en tethering. En aucun cas le fait d’assurer une qualité de service ne saurait justifier le bridage de la voix sur IP ou du tethering. Il s'(agit d’une atteinte manifeste à la neutralité des réseaux et en plus, les opérateurs se payent le luxe d’appeler ça de l’Internet illimité (une situation qui en pratique ne change pas vraiment depuis les déclarations de bonnes intentions à l’issue du colloque de l’ARCEP.
Un traitement de faveur pour le DPI ?
A l’heure actuelle de nombreux opérateurs expérimentent ou utilisent le DPI pour manager leur réseau, ceci est un usage correct de ces technologies, mais pour franchir le cap de la discrimination des contenus et des services de tiers, il n’y a qu’un pas. Et pour ne pas le franchir, il faudra que le législateur se prononce. Le seul hic, c’est que je le vois très mal dire aux FAI de ne pas détourner l’usage du DPI à des fins de discrimination des contenus du voisin si par malheur il autorisait aux ayants-droit un usage contre nature de ces mêmes outils à des fins de reconnaissance des contenus pour nettoyer Internet des contenus dit illicites car soumis à droit d’auteur. Et comment déterminer si un contenu est illicite ? C’est simple, il suffit par exemple de dire que tout mp3 sur un réseau P2P est illicite, que tout fichier vidéo entre 650 et 720 Mo est un divx piraté… C’est donc la négation parfaite d’une exception au droit d’auteur, le DPI se fichera bien de faire la différence entre un divx mal acquis et un divx légalement acquis et encodé par son propriétaire qui transite sur le réseau pour que ce dernier puisse par exemple le visionner sur son lieu de vacance. Tout fichier est suspect, tous les internautes sont coupables…
Conclusion
Oui, il faudra que le législateur intervienne (et ce n’est pas fait pour me réjouir) en se prononçant sur la neutralité des infrastructures. Une concurrence locale accrue est une bonne garantie, les petits acteurs pourront surveiller les gros et plus nombreux seront ces acteurs, plus le service gagnera en qualité et plus nous aurons des chances de conserver un Net ouvert et neutre. Autre effet bénéfique, les collectivités ne se trouvant pas en zone assez denses pour que les « gros » opérateurs ne daignent s’y établir, auront le loisir de confier des délégations de service public à des acteurs locaux, impliqués au sein de leur région, de leur département, et même de leur commune… tout le monde a donc à y gagner et c’est même peut-être là l’occasion de rattraper notre retard dans l’accès au très haut débit.
Il me semble aussi impératif de fixer légalement des limites à l’usage de technologies de Deep Packet Inspection et d’inscrire dans la loi que ces dernières ne doivent en aucun cas servir à des fins de discrimination, ni a toute pratique susceptible de violer les correspondances des utilisateurs du réseau. En pratique, je doute que le moment soit opportun car je n’ai qu’une confiance très limitée en notre représentation nationale pour comprendre toute la mesure des enjeux de ces questions, et je crains fort que nos députés et sénateurs ne se limitent à une vision franco française d’une problématique de nature internationale dont les enjeux sont capitaux pour notre compétitivité à l’international.
/-) Un énorme merci au channel IRC de FDN