HADOPI : An interoperable and modular XML bullshit

L’HADOPI a aujourd’hui publié un document intéressant à plusieurs égards. Il s’agit d’un appel à expérimentations émanant des Labs. Il commence à dessiner quelque chose qui ressemble de manière très; très… très lointaine à de la « sécurisation d’accès Internet », un terme qui à ce jour ne veut strictement rien dire. Je vous avais déjà expliqué que si l’on veut sécuriser un accès Internet, il existe bien un moyen, mais qui a un léger inconvénient dans le cadre implicite fixé par HADOPI. Ce cadre implicite, c’est « empêcher l’utilisation, frauduleuse ou non, des connexions Internet à des fins de téléchargement illégal ». On a beau vous raconter n’importe quoi aujourd’hui sur la mission divine de l’HADOPI qui va d’un coup de baguette magique protéger vos accès Internet, jusqu’à preuve du contraire, c’est bien pour faire la chasse au partage qu’elle a été votée. Et qu’on ne vienne pas me tanner avec la pédagogie, on aurait pu en parler si le délit de contrefaçon avait été supprimé dans le cadre d’un téléchargement… mais c’est loin d’être le cas.
Le moyen de sécurisation de l’accès Internet auquel je fais référence n’est en outre qu’une brique pouvant concourir, couplé à de bonnes pratiques, à la sécurité de vos données et de vos échanges sur Internet. Il s’agit d’un VPN, chiffrant de bout en bout vos connexions. Et l’inconvénient est de taille puisque cette solution qui sécurise pour le coup vos communications rend sourds et aveugles nos amis de TMG… et donc l’HADOPI parfaitement inutile.
Les Labs de l’HADOPI se secouent donc les neurones pour innover. Les neurones ont beau être au rendez-vous, si ces dernières s’agitent autour d’une problématique mensongère, vous vous doutez bien qu’au final on obtiendra une belle bouillabaisse, mais certainement pas de quoi « sécuriser un accès Internet ».
Le document, disponible ici, souligne que cette initiative émane des Labs en totale liberté et se veut un préalable à l’adoption de spécifications fonctionnelles de « moyens de sécurisation » (MS) d’accès Internet. C’est clair pour vous ? … Et bien pas pour moi.

☠ Reposons le problème

Alors qu’on ne sait toujours pas où la responsabilité d’un internaute s’arrête dans ce que le texte de loi appelle « sécurisation d’une connexion Internet », l’objectif est ici d’inventer une nouvelle génération de logiciel qui n’est :
  • ni un antivirus,
  • ni un firewall
  • ni un logiciel de contrôle parental
  • ni un IDS (système de détection d’intrusion)…
Christine Albanel l’avait appelé un « contre-logiciel », j’aimais beaucoup ce terme car on ne savait pas trop ce que ce logiciel devait contrer, mais on se doutait bien qu’elle allait nous en sortir une bonne. Au détour d’une question parlementaire, nous apprenions que le « contre-logiciel » de Christine Albanel, c’était OpenOffice, la suite bureautique qu’elle confondait avec un firewall.
Exit donc les antivirus, les firewalls, les solutions de contrôle parental, les IDS et les contre-logiciels, on parle maintenant assez sobrement de « moyen de sécurisation »… mais un moyen de sécurisation qui ne sait pas trop ce qu’il doit sécuriser. Le « moyen de sécurisation » c’est donc un peu de tout ça sans vraiment l’être et surtout, sans objectif clairement définit en matière de résultat attendu. Si vous me suivez jusque là, vous devez sentir vous aussi que dés le début, ça s’engage plutôt mal.

☠ Re-Reformulation de la problématique

Aujourd’hui, soit quand même plus de 3 ans après l’adoption d’HADOPI 2, alors que nous sommes dans une phase répressive assumée, les labs sont investis d’une mission plutôt casse gueule :

« Travailler à l’élaboration d’un bidule qui va permettre de spécifier un machin nouveau qui fait des trucs innovants mais qui restent à définir ». (NDLR : « putain 3 ans! »)

Comme nous sommes assurés qu’il ne peut ici s’agir de spécifier un moyen de sécurisation d’accès Internet qui sécurise la connexion de l’abonné au niveau :
  • de l’accès à son réseau local ;
  • l’accès à son système ;
  • de la protection de son patrimoine informationnel ;
  • de la protection de son identité numérique ;
  • du transport de ses données sur le réseau…
bref de la sécurité quoi… comme ce qu’une connexion sécurisée devrait apporter en terme de garanties pour protéger contexte et contenu des communications (pas de chiffrement surtout dés fois que ça empêcherait TMG de flasher les internautes), on s’oriente vers notre fameux « truc ».

☠ Un appel à expérimenter le truc qui fait des bidules

C’est déjà moins simple non ? Mais tenez vous bien, ce n’est pas terminé.

Le document nous apporte tout de même de bonnes nouvelles. Le truc devra être :

  • Interopérable : les geeks se réjouissent, il vont pouvoir installer le même truc sur le Windows, leur GNU Linux, sur leur BSD, sur leur Mac, et même sur leur Smartphone… je sens que tu exultes toi le geek.
  • Modulaire : à vous les joies de l’écriture de plugins à truc pour faire d’autres machins que les bidules pour lesquels il est prévu initialement… (Régis tu as un bout de pomme de terre sur la joue…).
  • Encore plus modulaire ! Tu ne t’es pas gavé avec l’écriture de tes plugins à truc pour faire d’autres machins ? Que dirais tu de listes et de règles qui interagissent avec la chose ?… les mots commencent à me manquer.
  • Compatible avec des plugins à trucs qui font des bidules, et autorisant des listes et règles qui font des choses différentes des machins du truc… PFIIIIOUUUUU !
Que nous manque t-il ? hummm wait… Une API bien sûr ! Et pas n’importe quelle API, pas une API de gonzesses, une API d’hommes ! Une vraie ! En XML et tout ! Une API transversale et interopérable ! La transversalité et l’interopérabilité d’une API permettant d’écrire des plugins du truc pour faire des bidules, passés au shaker avec les listes et les règles pour faire des choses sur le machin… je pense que nous le tenons notre concept.

☠ Et ça aurait pu être pire !

La bonne nouvelle ? La bonne nouvelle, nous la devons au fait que malgré une problématique mensongère, mal posée de manière délibérée et parfaitement à côté de la plaque de ce qu’elle prétend être, ce soit Jean-Michel Planche qui travaille sur ce dossier, entouré de personnes plutôt cortiquées, et qu’il le fait dans un esprit d’ouverture et de transparence appréciable. Nous avons échappé au MPLS et la priorisation de trafic en coeur de réseau, aujourd’hui abandonné pour un « truc » côté utilisateur.
Le document s’oriente donc vers un MMF : un Moyen de Maîtrise des Flux réseaux laissant toute latitude à l’utilisateur et qui respectera les RFC relatives aux DNS (… t’enflamme pas Régis, c’est juste afin de mieux les filtrer, c’est pas avec ça que t’auras ton BIND DNSSEC censorship proof à la maison en deux clics).

☠ An interoperable and modular XML bullshit

Vous savez quoi ? Je vous disais déjà en 2009 que ces moyens de sécurisation seraient une arlésienne. Aujourd’hui j’en suis définitvement convaincu. La cause était d’ailleurs entendue quand le rapporteur Muriel Militello avouait que le débat technique ne l’intéressait pas. Nos parlementaires ont voté un texte de merde… ils auront donc du caca, mais interopérable, modulaire et en XML.

Internautes, on vous la mise bien profond avec HADOPI… et c’est pas terminé.

Copwatch : le fiasco de Claude Guéant

Calamiteuse, désastreuse et d’une incompétence crasse. Voilà les mots qui me viennent à l’esprit quand je lis les trombes de pixels qui se déversent dans les Internets à propos du site Copwatch (encore accessible depuis chez Numéricable… à moins que l’opérateur ait opté pour un blocage DNS foireux… j’ai même pas envie d’essayer). Cette gestion bien rock’n roll du dossier Copwatch est l’oeuvre de Claude Guéant. Comme beaucoup l’ont souligné dés la première sortie du Ministre, Claude Guéant a offert une campagne de marketing viral au site Copwatch qu’il entendait censurer. C’est ce qu’on appelle un effet Streisand, ou comment rendre une information dont tout le monde se fout, bien visible.

Nul… archi nul, même pas foutu de prendre conseil auprès d’une personne qui lui explique comment fonctionne le réseau et toute la dérision qu’il y a à convoquer des fournisseurs d’accès et de leur coller un référé pour bloquer un site qui accusait déjà des miroirs par dizaines une heure après que Claude Guéant a eu l’idée grandiose d’annoncer à la presse son désir de le censurer.

Bilan ? Une humiliation dans les règles. Une humiliation prévue, une humiliation réproductible à l’infini… Tant que les politiques n’opposeront que des mesures unilatérales de blocage de sites, le réseau les ridiculisera. Aujourd’hui, le blocage de Copwatch, c’est tout juste un panneau « interdiction de marcher sur la pelouse« , mais un panneau inauguré en grandes pompes où on aurait invité toute la presse… pathétique.

Le pire, c’est que tout le monde se fichait complètement de ce site avant que Claude Guéant ne le pointe du doigt comme le site le plus dangereux de France. Et c’est vrai que l’idée n’est pas des plus fines. Initialement, Copwatch est une initiative visant à prévenir les abus des forces de l’ordre, en faveur du respect des droits de l’homme. Le ton sur lequel est fait ce qui se veut son pendant Français est peu comparable à ce qu’il est aux USA. Copwatch à la française à, il vrai, une connotation plus haineuse, plus radicale, plus « anti-flic » et peut dans une certaine mesure mettre en péril des fonctionnaires de police et surtout, leurs familles. On est plus trop dans l’esprit initial et c’est dommage.

On a beau ne pas soutenir l’initiative elle même, il n’en demeure pas moins que la méthode Guéant, celle de l’agression du réseau par la censure unilatérale, probablement sans discussion préalable avec le ou les auteurs du site, n’est pas la bonne méthode. Les FAI courbent l’échine, ils bloqueront tant que ça ne leur coute rien… et on me souffle dans l’oreillette que FDN n’a même pas été convié à la petite sauterie ministérielle par référé.

En tout cas c’est réussi, Copwatch est maintenant partout dans la presse et dispose déjà d’une belle liste de miroirs grâce à Streisand.me.

LOPPSI en seconde lecture : ouverture du bal

internet downgrade
LOPPSI downgrade ton Internet et tes libertés

C’est aujourd’hui que la loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI), arrive en seconde lecture à l’Assemblée nationale. Sur les questions qui touchent à Internet, le contexte est particulièrement favorable aux partisans de la ligne la plus sécuritaire. Une politique sécuritaire rime rarement avec le respect des droits fondamentaux. Elles sont, l’histoire nous le montre, surtout prétexte à des restrictions majeures des libertés. En trame de fond, l’affaire Wikileaks qui agite autant la presse que les ambassades et les ministère du monde entier devrait s’inviter dans l’hémicycle plus ou moins directement quand les questions relatives au blocage des sites web (article 4), seront débattues.

A l’instant, c’est Brice Hortefeux qui a ouvert les débats en expliquant grosso modo qu’il va sécuriser plus avec moins d’effectifs policiers, d’ailleurs certaines municipalités comme Nice qui s’adonnent aux joies de la cyber prune ont montré l’exemple, il suffit de mettre des caméras partout, de croiser toutes les bases de données… d’agréger le feed rss d’Echelon, de bien secouer, de faire passer le tout dans le gros ordinateur de Jacques Myard et hop le tour est joué… rien de bien sorcier ni de bien intrusif nous assure le ministre, c’est une loi pragmatique, nous voilà donc rassurés.

Le ministre défend ensuite son bilan en sortant une batterie de chiffres dont l’absence de contexte ne permet pas un jugement critique. Brice Hortefeux veut se donner des moyens législatifs et financier, en virant quelques effectifs et en les remplaçant par des cameras, des bracelets électroniques qui tweetent le commissariat du coin et en installant 2/3 firewall open office, le « Package Loppsi » est budgété pour la modique somme de 345 millions d’euros.

Globalement, il est question selon le ministre de « renforcer l’efficacité de la chaîne pénale ». Pour lutter contre la délinquance Brice Hortefeux défend son texte qui est axé sur les points suivants :

  • d’avantages d’outils opérationnels comme la vidéo-surveillance et autres outils favorisant la « vigilance active« ): le ministre évoque un accroissement du parc de 37 000 cameras. Dans ces outils, on trouve pêle-mêle : les logiciels de croisement judiciaire, le blocage des téléphones mobiles volés ou encore la saisie des biens des délinquants.
  • le renforcement de la police administrative ;
  • la lutte contre le hooliganisme ;
  • la lutte contre la délinquance dans les transports ;
  • l’immobilisation en cas de délits routiers graves ;
  • le renforcement de la capacité d’action sur Internet avec la mesure qui risque de faire couler beaucoup d’encre : le blocage des sites pédo-pornographiques, mesure déjà abandonnée en Allemagne et sur le point de l’être en Australie, … bref pas de doute, nous sommes bien les pionniers en matière d’Internet civilisé… enfin on est les pionniers français parce qu’ailleurs tout le monde en est revenu.

Sur ce dernier point, Brice Hortefeux lâche un superbe « on ne peut pas faire comme si rien ne se passait » pour défendre le blocage des sites. Cette phrase est assez révélatrice de la perception de l’action chez le ministre : en bloquant l’accès à des sites web illégaux, c’est pourtant bien ce que propose Brice Hortefeux : fermer les yeux. La lutte contre la pédo pornographie se gagne sur le terrain, des associations dans d’autres pays comme en France le soulignent : Le blocage des sites ne sert à rien, en revanche une coopération judiciaire internationale visant à supprimer ses contenus et interpeller les auteurs serait bien plus utile. Le slogan de Mogis, est pourtant clair :

Supprimez, ne bloquez pas!
Agissez, ne fermez pas les yeux!

Facebook mérite des claques

facebookOn doit l’information à Geek.com Facebook, le réseau social, depuis peu de temps, c’est aussi un service de messagerie unifié (mails, SMS, pigeon voyageur…). C’est un service que je n’ai pas essayé et que je n’essaierai pas. Figurez vous que Facebook épluche vos mails et tous les messages personnels qu’il « unifie », si votre communication personnelle contient un lien sur un site que la « morale Facebookienne » réprouve (par exemple un lien sur The Pirate Bay) Facebook décide purement et simplement de vous censurer et prend la décision de ne pas acheminer votre message. Est-il besoin de rappeler que le tracker Torrent référence (aussi) des contenus parfaitement légaux.  Pour faire bref, Facebook s’adonne au niveau zéro du filtrage albanélien. Que diriez vous si Orange coupait vos communications téléphoniques à chaque fois que vous prononcez une grossièreté ?

Facebook se rend-il coupable de quelque chose d’illicite ? Un intermédiaire de ce type, en sa qualité d’opérateur de messagerie personnelle est prié de transporter des données, on ne lui demande strictement rien d’autre. L’article L32-1du code des Postes et Télécommunications qui cause de neutralité du transporteur explique que les opérateurs sont contraints à une neutralité absolue sur le réseau. Je cite :

« 5° Au respect par les opérateurs de communications électroniques du secret des correspondances et du principe de neutralité au regard du contenu des messages transmis, ainsi que de la protection des données à caractère personnel »

La Poste n’a ainsi pas le droit de décider si elle va acheminer votre courrier en fonction de ce qui est écrit dans vos lettres. Facebook, lui, a décidé de s’arroger ce droit. De là à dire si ceci est légal ou pas, seule une jurisprudence portant sur la notion de neutralité des réseaux pourrait commencer à apporter un bout de réponse. Il faut dire que les décisions de justice à ce sujet ne se bousculent pas, cependant, avec les réseaux (sociaux ou pas) nés d’Internet, certains opérateurs s’arrogent des droits (parfois divins) et cherchent maintenant à s’ériger en gardien de votre morale, Facebook réussissant même ici à immiscer sa morale à lui au cœur de vos discussions privées. Ceci n’est pas tolérable, c’est au mieux une atteinte manifeste à la neutralité au pire un viol tout aussi manifeste de vos correspondances privées.

Nous assistons donc ici à une dérive particulièrement inquiétante, si tous les opérateurs de services en se mettent à décider d’appliquer des filtres en fonction de ce qu’eux même jugent légal ou pas, moral ou pas, convenable ou pas, on va vite se retrouver avec un Net aussi pourri que celui du député Myard. D’ailleurs, qu’est-ce qui empêcherait un fournisseur d’accès Internet de filtrer Facebook sous prétexte que le réseau social rend la bêtise humaine plus accessible ?

EDIT : On me souffle également que le code pénal, en son article 226-15 puni assez lourdement ce genre de pratiques, ce que fait ici Facebook semble donc bien illégal :

« Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 45000 euros d’amende.
Est puni des mêmes peines le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions. »

HADOPI : réponse sommaire à la problématique de la labellisation des moyens de sécurisation

securitéJe me permet de publier les quelques observations que j’ai fait à l’HADOPI concernant les spécifications des dispositifs de filtrage, c’est assez sommaire car chaque point mériterait à lui seul que l’on s’y appesantisse bien plus. Les voici livrés de manière brute.

AVERTISSEMENT : les spécifications des moyens de sécurisation de la HADOPI peuvent profondément évoluer, il est donc nécessaire que les personnes concernées se manifestent et enrichissent ces spécifications avec des remarques ou fassent part de leurs inquiétudes sur divers points. En tout cas je vous encourage à le faire, ce n’est pas du temps perdu. La loi est là, il faut maintenant l’appliquer, à nous de faire en sorte que ce soit avec le moins de casse possible.

Le problème des réseaux sans fil publics

  • Les abonnés SFR utilisent souvent la connexion de leur voisin à leur insu (connectivité en roaming même depuis leur domicile). Il me semble important de demander à cet opérateur (comme à Free avec son service FreeWifi, même si ce dernier attribue une adresse ip différente de celle de la box à laquelle le freenaute est connecté) des chiffres sur cette pratique.
  • Ces réseaux publics avec portail captif sont très souvent vulnérables à un bypass d’authentification par encapsulation tcp over DNS.
  • Les réseaux publics déployés dans des lieux publics sont aussi souvent (même très souvent) mal configurés, un scan du lan une fois connecté au portail captif permet aisément de trouver l’ip de l’AP, ses ports ouverts, et donc l’interface d’administration. pour l’interface HTTP le mot de passe est souvent bien modifié, ce qui est très rarement le cas de l’accès console via ssh à ce même AP.
  • Toujours pour ces réseaux publics, les firmwares sont très rarement à jour, et donc exploitables.

Filtrage sur les protocoles (En fonction de la taille, des formats, débits, profils utilisateurs , débits, volumes et plages horaires).

Appliquer une politique de sécurité en fonction de ces critères est hasardeux, le risque de surblocage est très important. Le filtrage sur un protocole n’est pas acceptable en soi, c’est une discrimination par défaut, pas plus que ne l’est une approche statistique, même si l’on sait qu’à la sortie des écoles, un fichier de 700 mégas avec une extension .avi a 90% de chances d’être un fichier contrefait.
L’usage d’un protocole P2P pour des raisons légitimes ne peut pas être entravé, même par un simple avertissement. Dans le cadre de la cellule familiale, si un enfant utilise un protocole de P2P pour une raison légitime et que ses parents n’ont ne serait-ce qu’un avertissement, il partiront du principe que le P2P est une technologie problématique et donc proscrite.

L’analyse des configurations des postes clients (logiciels installés) risque d’être un gros frein, à moins que les journaux produits ne puissent être exploités que par l’utilisateur. De trop nombreux utilisateurs de Windows utilisent des logiciels crackés et vont prendre peur que cet outil agisse comme un mouchard.

Outils de journalisation

  • le principe du double archivage des journaux me semble acceptable, je n’ai aucun problème avec ça.
  • j’ajouterai la journalisation des adresses mac des clients du lan, qui même falsifiables sur le poste client, peuvent être corrélées avec les durées de session et donc être utiles pour disculper une personne victime d’une intrusion sur son réseau sans fil. Cependant, il est à noter que des box comme certaines anciennes Livebox proposent par défaut une fonctionnalité obligeant les postes clients à déclarer les mac adress pour pouvoir se connecter au WLAN (ces box sont livrées avec du WEP activé par défaut). Le résultat, c’est que l’intru, à l’aide d’un outil de sniffing wireless comme aircrack, peut repérer les mac adress connectées à la box (et donc autorisées) visionner le volume de trafic entre le point d’accès et le client, et donc usurper la mac d’un client autorisé (mac spoofing).
  • le contrôle de l’utilisateur sur les données de journalisation chiffrées est un bon point, l’utilisateur doit pouvoir demander ponctuellement le déchiffrement de son journal et s’assurer que la version non chiffrée n’a pas été altérée par un simple diff.

L’anonymisation des journaux envoyés pour déchiffrement des données collectées est très importante.

La sécurité est indissociable de la notion de confiance, et je ne vois pas comment l’HADOPI dont la mission initiale est de faire diminuer l’échange de fichiers contrefaits peut être un tiers de confiance acceptable par les utilisateurs. Même anonymisée, cette fonctionnalité sera en toute logique boudée des utilisateurs.

Concernant le stockage de données issues des contrôles des flux réseaux sur le LAN de l’utilisateur, en ce qui me concerne je refuserai catégoriquement qu’une machine connectée à mon réseau local aille scanner d’autres machines de mon LAN, même si ces informations restent sur le poste clients, il serait par exemple mal venu de compromettre une machine de mon LAN sous OpenBSD ou Linux parce qu’un logiciel sous Windows a décidé de stocker des informations sur mon LAN. Je n’accorde aucune confiance à ces moyens de sécurisation  sur une machine cliente.
La problématique des ordinateurs portables se connectant sur mon LAN (amis, famille) qui stockeraient des informations sur mon réseau domestique me fait froid dans le dos. Si un tel dispositif est labellisé, j’interdirai purement et simplement la connexion de tiers sur mon réseau de peur qu’un défaut de mise à jour ou une faille ne vienne compromettre une partie de mon LAN. Au mieux je demanderai la désinstallation complète du dispositif de sécurisation à un tiers pour le laisser se connecter à mon LAN. Qu’on le veuille ou non, cette fonctionnalité est assimilable à un mouchard, elle est donc à proscrire.

Systèmes d’exploitation libres et moyens de sécurisation

Les systèmes d’exploitation libres disposent déjà d’outils performants de sécurisation (de la vraie sécurisation qui lutte contre des accès frauduleux et qui ne condamne pas un usage). Les Unix libres disposent par défaut de Packet Filter et GNU/Linux de Netfilter/Iptable. Ces outils correctement configurés sont suffisants pour assurer un niveau de sécurité satisfaisant, tout dispositif supplémentaire est non seulement inutile et aucun crédit ne saurait leur être accordé. Tout labellisé qu’il soit, un tel dispositif a par exemple fort peu de chance d’apparaître dans les packages d’OpenBSD.
Même si ces solutions existent, elles ne seront jamais intégrées dans des distributions car ni leur fondement légal, ni leur philosophie, sont compatibles avec les logiciels libres.

Le principe des listes et solutions de contrôle parental


De ce point de vue, je n’ai aucun problème, à la seule condition que la configuration par défaut du dispositif fasse apparaître clairement les sites filtrés et qu’aucun site ne soit filtré à l’insu de l’utilisateur. Attention, ceci exclu de fait certaines solutions. Ces listes doivent être lisibles et éditables par l’utilisateur. Aucun site ne doit être placé dans une liste noire à l’insu de l’utilisateur.
Le principe des listes peut convenir mais il est par exemple hors de question qu’une société tierce, comme OPTENET, qui semble avoir des liens affirmés avec les milieux intégristes catholiques et qui a déjà montré en Australie son zèle à filtrer secrètement des sites parfaitement légaux, devienne le garant de ma morale ou de celle de mes enfants. cf : http://bit.ly/be4M7f
« Ces listes (centaines de milliers d’éléments, en général) sont définies et mises à jour par diverses organisations ou groupes d’ordre éthique. » : permettez moi d’en douter, OPTENET équipe aujourd’hui l’éducation nationale et n’est pas un tiers de confiance fiable à mes yeux.

Les problèmes de normalisation au niveau européen


Cette digression sur Optenet me fait sérieusement réfléchir sur une éventuelle compatibilité (et sur le papier elle se doit de l’être) avec les dispositifs européens de filtrage normés (ils devraient l’être au début de l’année 2011). Il va de soi que non seulement je vais m’opposer haut et fort à ce que la France se base, contre les avis de l’AFNOR, sur une norme européenne dont on sait qu’elle a été tronquée par des intérêts privés et qu’elle présente un caractère prêtant à une grande suspicion.
A la veille du vote de l’article 4 de la Loppsi, si nous avons le moindre soupçon de mise en place d’outils un peu trop « polyvalents », nous nous y opposerons fermement et avec les arguments idoines.

Protection antivirale


« Un antivirus car l’application devra se protéger contre les différentes attaques qui ne manqueront pas de surgir contre elle-même. Elle devra détecter des logiciels de contournement, etc. »
Cette définition fonctionnelle me semble erronée.
Il existe déjà des éditeurs proposant des solutions antivirales, je ne comprends pas ce que ceci vient faire dans un dispositif labellisé par la HADOPI. Par définition l’usage d’un antivirus est nécessaire quand c’est trop tard.
Enfin ajouter un antivirus a des solutions antivirales existantes alourdira la charge dédiée à la sécurité de manière inutile en diminuant sensiblement les performances des machines des utilisateurs.

Le coeur du problème : l’analyse dynamique de flux


« Le but de ce module est d’inspecter dynamiquement le contenu entrant et sortant du trafic sur les interfaces du réseau de la machine de l’utilisateur. »
Cette fonctionnalité est dangereuse et ne produira que pour seul effet d’amputer les internautes d’une partie d’Internet.

  • Quid des logs produits ?
  • Quid des protocoles exotiques ou nouveaux non répertoriés par l’éditeur ?
  • Quid du comportement de cette fonctionnalité sur les outils d’anonymisation de trafic (TOR/Freenet) ?

« En cas de découverte d’une configuration atypique, une notification de bas niveau est générée.  »
Là encore c’est très discutable, quid de la défense d’un internaute pour justifier une configuration atypique nécessitée par un usage légal, quid de sa valeur au moment de défendre sa bonne foi ? On s’oriente vers des écueils juridiques où les utilisateurs ont tout à perdre : cette fonctionnalité doit impérativement être indépendamment désactivable

Des mesures de sécurité qui n’en sont pas

Page 24 : « (pas de sécurisation WPA, SSID en clair, routeur avec aucun contrôle sur les adresses MAC des appareils se connectant à lui, etc.) ».

  • Un SSID en clair n’est pas une vulnérabilité (même masqué, un SSID est détectable, ainsi que le BSSID, par de simples outils d’analyse de réseaux sans fil)
  • Un dispositif de contrôle des adresses mac n’est pas non plus un dispositif de sécurité sérieux (il est contournable en 5 secondes).

Leur absense n’ont donc pas à générer d’alerte. Il est même dangereux de définir ces mesures comme des mesures de sécurité car ceci sème le trouble chez certains utilisateurs qui se pensent sécurisés sous prétexte que leur SSID est invisible.

Un point intéressant qui a le mérite d’expliquer clairement les intentions du dispositif

Page 24 : « L’application doit aussi conseiller et guider l’usager pour les divers appareils qui ne sont pas des ordinateurs (lecteur DVD, Boitier multimédia, etc.) mais qui sont susceptibles de posséder des fonctions de téléchargement avec une problématique de contrefaçon. »
Ces dispositifs tendent donc explicitement à limiter les usages de matériels possédant des fonctionnalités de téléchargement. Comme ça c’est clair, l’idée est de « sécuriser contre le téléchargement », mais pas de sécuriser les données personnelles de l’utilisateur. Cette phrase a elle seule discrédite l’ensemble de la démarche, on est plus dans la sécurisation, on est bien dans le registre de la surveillance.

Un point de détail assez amusant

Un peu plus loin (P.27), la solution propose même de « bloquer toutes les connexions ; » … là, vous avez intérêt à avoir une hotline assez sérieuse et ça promet de grands moments…

Contournement du dispositif et contre mesures

La sécurisation des moyens de sécurisation est illusoire, l’histoire nous montre que _tous_ ces dispositifs ont été compromis au moins une fois. L’exploitation à grande échelle est restreinte par la diversité. Si un mécanisme labellisé et donc présent dans toutes les solutions est faillible, le risque d’une exploitation à grande échelle est inéluctable. Un moyen de sécurisation ne saurait réussir à comprendre ce qu’il se passe dans une machine virtuelle, seules des traces « réseau » pourraient apparaître dans les journaux. Si elles sont chiffrées, seul un mécanisme de signature de trafic pourrait permettre de repérer une tentative de contournement et cette perspective est inquiétante et sa pratique généralisée n’est pas souhaitable. Toute approche de reconnaissance de contenus, ne saurait se faire que sur un fondement légal valable et motivé par des faits graves. Par delà les problématiques de priorétarisation de trafic légitime, elle posera à terme des problèmes car il est tentant d’utiliser cette technique pour des causes non légitimes. Nettoyer Internet de contenus copyrightés n’est à mon sens pas une cause légitime et constituerait un détournement non souhaitable de cette technologie.
Je m’inquiète de voir apparaître un dispositif supplémentaire sur les réseaux mobiles, même si ce n’est pas ce qui est clairement expliqué dans le document (page 8). Les réseaux mobiles sont déjà assez filtrés (usage manifeste du DPI) pour que l’on ajoute une couche supplémentaire de filtrage.

En conclusion

Je persiste et signe, l’HADOPI est illégitime dans cette mission, l’intitulé « moyens de sécurisation » est séduisant mais il est trompeur quant aux objectifs. C’est le droit d’auteur qu’on protège en condamnant des usages et non les internautes.
Le risque de voir ces solutions labellisées HADOPI répondre aux normes européennes en font un outil rêvé de contrôle moral et politique basé sur la peur du gendarme, effet renforcé par le délit de négligence caractérisée. Si sur la forme certains points de ce document semblent techniquement corrects, le fond et les motivations de la démarche l’invalident à mes yeux totalement.
Même labellisés, ces moyens de sécurisation n’auront donc pas droit de citer chez moi et je déconseillerai vivement leur installation.

Normalisation européenne d’outils de filtrage du Net : la position de officielle de l’AFNOR

afnor logo
AFNOR

L’AFNOR a souhaité réagir officiellement sur le billet précédent. Relevant plusieurs erreurs le Groupe AFNOR nous apporte quelques précisions tout en réaffirmant ses divergences avec le projet de normalisation européen : « Le député Mignon dit que la norme européenne s’inspire de la norme française. Ce n’est pas exact, les normes française et européenne ont été élaborées complètement indépendamment l’une de l’autre. »

Elle réagit également sur l’adendum de 21h dans lequel je tentais de donner des précisions sur le dispositif de filtrage où j’indiquais (…) elle s’est opposée (au nom de la France) à cette norme expérimentale visant à transmettre les blacklists aux FAI afin de laisser à ces derniers le loisir de filtrer sans que le particulier ne puisse exercer de contrôle de lui même… Mes propos étaient inexacts et l’AFNOR précise sur ce point : « En fait, une des différences repose sur le fait que les logiciels de filtrage définis par la norme française s’installent en local, tandis que les solutions de filtrage définis par la norme européenne sont hébergées à distance mais restent néanmoins activables par l’utilisateur (le parent n’a pas de visibilité sur le contenu filtré, et le risque dénoncé par les experts français est que le contrôle parental s’exerce sur le parent lui-même). La question n’est en tout cas pas de transmettre les listes aux FAI (à noter que la norme européenne s’applique à tout type de solution de contrôle parental, là où la norme française est limitée aux solutions des FAI).
L’AFNOR ajoute également qu’elle ne sait pas quand exactement cette norme est sensée sortir. Elle insiste enfin sur le fait qu’elle ne participe plus au projet de normalisation européen : « A noter que dans le cadre de la création de la commission pour élaborer la norme expérimentale française les français ont commenté la norme européenne en 2009, mais qu’il n’y a plus en 2010 aucune commission AFNOR active, donc à ce jour aucune délégation française au niveau européen.»

Le Comité Européen de Normalisation n’a pas souhaité transmettre le document de cette norme et n’a pas non plus souhaité transmettre les noms des personnes participant à cette commission sur les outils de filtrage. L’opacité est donc, pour le moment, totale au niveau du CEN.

De nombreuses zones d’ombre subsistent concernant le rôle exact d’OPTENET au sein du comité comme sur ses inclinaisons à être tentée de filtrer des sites parfaitement légaux. Un exemple concret est le filtrage en Australie de sites informatifs sur l’interruption volontaire de grossesse, OPTENET proposait l’une des deux solutions gratuites de filtrage mises à disposition par l’ACMA. Le risque de voir un filtrage du Net opéré par une entreprise proche de milieux intégristes catholiques, normalisant des moyens techniques et définissant ce qui doit être filtré ou non dans la plus grande opacité, est donc plus que jamais d’actualité.

L’ombre de l’Opus Dei plane sur le projet de normalisation européen du filtrage du Net

opus dei
Opus Dei

Aujourd’hui suite à un tweet de @manhack je découvre, dans une réponse du gouvernement que l’AFNOR et son pendant espagnol, l’AENOR plancheraient sur un projet de normalisation de dispositifs de filtrage du Net. Il me faut un petit temps, quelques recherches sur le Net, deux trois coups de fil… et hop, l’évidence est là, sous mes yeux. Quelque chose d’assez pestilentiel plane dans cette histoire de filtrage, creusons un peu cette nébuleuse où s’entremêlent business, politique, contrôle du Net, sectes et lobbying. Une entreprise de sécurité informatique liée à une secte, ce n’est pas quelque chose de nouveau, on se rapelle par exemple de l’éditeur antivirus Panda Software et de ses liens avec l’Église de Scientologie. Nous allons donc tenter de comprendre un peu mieux le background de ce projet de normalisation pour tenter d’y voir un peu plus clair.

Dans la réponse faite au député Mignon, on peut lire « La version expérimentale de cette norme a été publiée par l’AFNOR en janvier 2010. Elle sera présentée devant le bureau technique du Comité européen de normalisation dans le cadre du comité de projet « Filtrage Internet » (Project Committee « Internet Filtering »). Ce comité est animé par l’Agence espagnole de normalisation (AENOR). La publication d’un premier document européen est envisagée d’ici la fin de l’année 2010. Par ailleurs, le secrétariat d’État à la famille et à la solidarité soutient des actions de sensibilisation et d’éducation aux médias menées par des associations tant auprès des jeunes dans les établissements scolaires que des parents. »

L’affaire remonte à 2006, OPTENET, une société d’origine espagnole est accusée d’avoir extrait les listes d’accès d’une solution de contrôle parental d’origine française, celle de la société XOOLOO. Au milieu de cette affaire, on trouve également le nom de grands FAI : ORANGE (à l’époque WANADOO / NORDNET à qui nous devons par exemple un certain failware HADOPI), CLUB INTERNET et TELECOM ITALIA. ORANGE aurait laissé fuiter les listes d’accès (constituées manuellement par la société XOOLOO)… négligence caractérisée ou intention délibérée, même si j’ai bien ma petite idée sur les modalités d’extraction de ce genre de liste, je ne suis pas dans le secret des dieux. Sachez simplement que c’est la solution de XOOLOO qui était intégrée à l’offre Securitoo commercialisée par Wanadoo sur abonnement et packagée par NORDNET… on ne change pas une équipe qui gagne.

Le scandale éclate en mai 2007 dans les pages de Libération qui nous apprend dans un article intitulé « Optenet, chapelle de l’Opus Dei » les liens étroits entre OPTENET et l’Opus Dei, je cite :

« Optenet, créé en 1997, s’appelait avant Edunet. Son siège est à San Sebastián. Elle emploie aujourd’hui «130 professionnels» et possède des antennes en Europe, au Brésil, au Mexique et aux USA. En France, Optenet Center compte parmi ses membres fondateurs Alberto Navarro Mas, gérant de la SARL. Il pilote le bureau d’Optenet à Paris. C’est aussi le gérant des éditions Le Laurier, spécialisées dans les publications de l’Opus Dei, et sise au 19, rue Jean-Nicot, à Paris. Cette ruelle du VIIe arrondissement abrite au numéro 6 le centre Garnelles, le plus fréquenté des treize lieux de rencontre gérés par l’Opus Dei à Paris. C’est à cette adresse qu’est domicilié professionnellement Alberto Navarro Mas. C’est là aussi qu’est domiciliée l’Acut (Association de culture universitaire et technique), considérée comme un des satellites de l’Opus Dei. »

Niant tout lien avec l’Opus Dei, OPTENET s’offre un droit de réponse peu convainquant suite aux révélations de Libération.

En fouillant un peu plus on trouve sur Légalis un résumé complet du feuilleton, l’histoire est passionnante, on y apprend que Xooloo a mis trois ans pour constituer sa base de données de sites filtrés alors qu’Optenet ne mettra que quelques semaines, l’usage d’un crawler est soupçonné. Concernant la fuite de la base de données, Orange est accusé de complicité par la société XOOLOO.

« Attendu que France Telecom n’apporte pas la preuve qu’elle avait reçu l’autorisation de Xooloo pour fournir à Optenet la base cryptée de Xooloo, le tribunal dira qu’en agissant ainsi, France Telecom a eu une application fautive du contrat, qu’elle s’est mise en contradiction avec l’article L.342-1 du code de la propriété intellectuelle et que les moyens présentés par France Telecom pour démontrer qu’elle a exigé d’Optenet des garanties de confidentialité sont inopérants, »

En fouillant même encore un peu plus, il semble que la base de données de XOOLOO, remixée à la sauce OPTENET, se soit vue intégrer des sites dont les contenus n’ont pas de caractère choquant, les critères semblent tout de suite plus « religieux » qu’en rapport avec la protection de l’enfance.

En 2009, on retrouve XOOLOO et OPTENET, aux côtés d’associations de protection de l’enfance (Droit@l’Enfance, E-Enfance, Action Innocence), à l’AFNOR, pour définir une ligne directrice en vue d’une normalisation des solutions de contrôle parental.

Aujourd’hui, je dois vous avouer que l’implication OPTENET dans ce projet me laisse particulièrement perplexe sur les motivations profondes de normalisation des outils de filtrage demandée par Nadine Morano alors en charge de ces questions. Fabrice Epelboin avait mis en garde sur une dérive puritano religieuse de l’exploitation des questions de filtrage du Net, il semble qu’en Europe, elle revête un caractère carrément sectaire, je ne suis qu’au début du fil, et quand je tire, je sens bien la pelote… OPTENET semble très actif dans le lobbying européen relatif aux questions de l’enfance et ses solutions sont assez reconnues pour s’être même vues décerner une récompense européenne, le prix IST de l`innovation (Information Society Technology) par la Commission Européenne. Au niveau français, OPTENET, arbore aussi le logo officiel du ministère de l’éducation nationale. Vu le passif de la société, j’ai le sérieux pressentiment que ça ne sent pas bon du tout.

J’espère en avoir assez dit pour vous donner l’envie de creuser un peu plus le sujet, comme d’habitude, je vous invite à faire vos propres recherches et à être particulièrement vigilants sur cette histoire qui présente tous les ingrédients d’un bon gros scandale. Nous ne pouvons pas laisser un sujet aussi grave et sérieux que la protection de l’enfance devenir une porte d’entrée à une dérive sectaire au plus haut niveau européen, dont le cheval de bataille serait le filtrage du Net.

Si vous avez du temps, n’hésitez pas faire des recherches et à remonter des informations suspectes, mon petit doigt me dit qu’on en est qu’au début.

EDIT : 21h00

  • J’ai contacté l’AFNOR qui a répondu en toute transparence à mes questions, sa position est claire, elle s’est opposée (au nom de la France) à cette norme expérimentale visant à transmettre les blacklists aux FAI afin de laisser à ces derniers le loisir de filtrer sans que le particulier ne puisse exercer de contrôle de lui même (DNS Menteur). Cette norme expérimentale est sensée être adoptée en Janvier 2011.
  • En continuant mes recherches, j’ai découvert que la solution d’OPTENET était l’une des deux solutions gratuites (avec la solution SAFE EYE) proposées par le gouvernement australien. Là bas, les listes de filtrage ont fait grand bruit puisque comme on s’en doutait, on y trouvait aussi des sites dont la nature n’avait pas un caractère répréhensible par le droit australien.
  • En grattant encore, on trouve assez simplement ce billet. On y apprend que OPTENET se nommait autrefois EDUNET. Sur son site, EDUNET proposait des contenus pour le moins assez particuliers comme ces pages : http://web.archive.org/web/20031210143415/www.edunet.es/ideas/index.htm qui ne sont plus en ligne mais que l’on retrouve avec Webarchive. On y apprend que selon cette société, l’homosexualité est une maladie qu’on attrape à la naissance ou plus tard : http://web.archive.org/web/20031005032609/www.edunet.es/ideas/homosexu.htm (point n°6).
  • Au niveau français, OPTENET semble compter l’éducation nationale parmi ses clients et arbore fièrement le logo du ministère sur l’un de ses sites : http://www.education.optenet.fr/
  • Je cherche maintenant des traces sur un éventuel conflit d’intérêts au niveau de la commission de normalisation européenne sur ces dispositifs de filtrage : à son plus haut niveau, on retrouverait encore OPTENET.

Faut-il réguler la Neutralité du Net ?

neutrality

Je ne pensais pas avoir un jour à me poser cette question : faut-il que le législateur intervienne pour préserver un semblant de neutralité des réseaux ? J’ai plus de 15 ans de net derrière moi, mes Internets à moi se portent très bien et j’ai un peu de mal à me figurer que le fait que des politiques s’en mêlent puisse apporter quoi que ce soit de positif. Cette question m’est simplement venue au détour d’un tweet de Ludovic Penet (si vous ne le connaissez pas encore et que ces questions de neutralité vous intéressent, faites chauffer votre reader RSS, le monsieur sait de quoi il parle et il en parle très bien).

Tout est parti de ce billet où je revenais sur la réponse de CCIA à la consultation de l’HADOPI sur les moyens de sécurisation. Les poids lourds du Net (Yahoo, Google, Microsoft, Facebook…) mettaient les deux pieds dans le plat en contestant la légitimité de l’HADOPI dans sa mission toute neuve de sauver les internautes des méchants pirates qui utiliseraient leur connexion Internet pour downloader le dernier Lady Gaga. Dans ce billet, je m’amusais un peu de voir ces géants du Net se réveiller 2 ans après la bataille alors que Christine Albanel criait à qui voulait bien gober ses sornettes, que les accords Olivennes, à l’origine de la loi création et Internet, étaient issus d’un large consensus. Manque de bol, il semblerait que les principaux acteurs du Net (les internautes, les grosses entreprises du Net, ou encore l’ASIC) n’aient pas été invités à participer à ce large consensus… et oui, un consensus c »est toujours plus simple quand on est tous d’accord avant de commencer à causer… évidemment il y en a toujours un pour l’ouvrir mais quand on a une licence 3G à troquer, c’est assez simple de le faire plier. Le soucis c’est qu’une fois votée, il faut bien l’appliquer cette loi… et c’est là qu’on s’étonne de voir des entreprises, comme Google, Yahoo ou Microsoft, que l’on pensaient toutes « consensualisées à mort », fustiger de manière véhémente le produit direct de ce consensus… voilà pour le contexte.

La discussion de fond maintenant

Quand Ludovic a réagi à ce billet, il m’a fait remarquer que je soutenais implicitement une atteinte à la neutralité. Je n’aurais pas relevé si ceci ne venait pas de Ludovic. S’il dit ça, c’est qu’il y a forcément un fond de vérité et quelque chose aurait donc échappé à mon analyse… ok, creusons.

Attention, sur les questions de neutralité, Google, Microsoft et Yahoo ou Facebook ne sont certainement pas à mettre à la même enseigne. Quoi qu’on en dise, Google s’est toujours montré très respectueux de la neutralité du Net, et pour cause, c’est en grande partie grâce à cette neutralité que Google est devenu ce qu’il est… et que d’autres, un jour, pourront aspirer à le détrôner. A contrario, Microsoft a très longtemps mené une politique de fermeture, il aura par exemple fallu attendre 2010, pour que dans sa grande mansuétude, Microsoft se décide à faire un navigateur qui respecte les standards du W3C.

Ce que Ludovic voulait me faire remarquer, c’est que tout ce petit monde a forcément un intérêt à être contre toute régulation. Les sociétés privées ont envie de continuer à tenir les rennes, à innover et à… brider un peu à leur manière le Net pour diriger les utilisateurs sur leurs services et pas celui du voisin… Et oui, Ludovic à raison, mais je reste assez perplexe, quelque chose me chiffonne dans ce raisonnement…

Toujours est-il qu’en désignant HADOPI comme illégitime dans sa mission de spécification d’un logiciel de sécurité labellisé et créant une incitation légale à acheter tel dispositif plutôt que tel autre, la CCIA met le doigt sur une entrave à l’innovation et sur un petit soucis de distorsion concurrentielle assez intéressant. Or la CCIA oppose cet argument qui est de dire que dans une société qui se dit libérale, on laisse le marché faire, on ne lui impose pas de ligne directrice susceptible de nuire à l’innovation et d’entraver la concurrence. Je vois par exemple assez mal la HADOPI préconiser le pare-feu par défaut de Windows comme une solution fiable de protection, mais est-ce bien l’efficacité de la protection des utilisateurs qui est recherchée par la HADOPI ? N’est-ce pas plutôt la protection du droit d’auteur qu’elle cherche à protéger en incitant vivement l’utilisateur à installer un moyen de sécurisation ?

Alors on régule ?

Au moment où je suis en train d’écrire ces mots, je n’ai pas la réponse à cette question et bien malin celui qui peut m’en donner une parfaitement argumentée. En revanche j’ai quelques observations assez factuelles à formuler  :

  • Premier constat : avant que les politiques ne commencent à y mettre leur nez, le Net fonctionnait très bien sans eux, ouvert et neutre, personne ne se posait d’ailleurs la question il y a une dizaine d’années, on bouffait du kilo-octet tout neutre et ça ne perturbait personne.
  • Second constat : en France, TOUTES les lois qui concernent Internet ont eu pour seul effet (voulu ou pas) d’entraver son ouverture et sa neutralité au bénéfice de quelques uns et au détriment du plus grand nombre.
  • Troisième constat : les atteintes à la neutralité sont jusque là du fait de deux entités, il s’agit soit d’états, soit de FAI (systématiquement du côté de ceux qui détiennent des infrastructures… en toute logique). Un état porte atteinte à la neutralité généralement pour de mauvaises raisons (fliquer ou materner sa population), les FAI, eux, le font pour des raisons économiques.

Il y a deux points capitaux qu’il semble donc de bon ton de dissocier :

  • l’infrastructure (les tuyaux)
  • et les services (le contenu).

Nous avons une particularité en France, c’est que ceux qui détiennent les infrastructures sont également éditeurs de contenus. Il est donc facile de comprendre, partant de là, qu’un opérateur préfère qu’on utilise SON infrastructure pour accéder à SES contenus plutôt qu’à ceux des voisins… et comme tous les éditeurs de services ne sont pas FAI, le rapport de force peut très vite tourner en la défaveur des entités qui ne possèdent ou n’ont accès à aucune infrastructure.

Je vois ici 3 issues possibles :

  • On régule en interdisant aux FAI d’être éditeurs de contenus (on peut toujours rêver).
  • On régule uniquement au niveau des infrastructures physiques, particulièrement si elles sont financées tout ou partie par des fonds publics. Il s’agirait d’inscrire dans la loi que n’importe quel acteur puisse accéder à ces infrastructures pour délivrer un service, qu’il soit local ou national. C’est de loin la solution la plus séduisante à mon sens et c’est surtout celle qui répond le plus intelligemment à cette problématique complexe.
  • On ne régule rien du tout et on laisse faire.

De ce que j’ai vu en 5 ans d’acharnement des politiques pour tenter de briser cet espace de liberté qu’est Internet (à coup de filtrage, blocage, croisade contre l’anonymat, ou encore cette escroquerie intellectuelle du droit à l’oubli numérique) m’incite à penser qu’on ferait mieux d’attendre que certains de nos élus ne prennent leur retraite avant que l’on envisage de pondre une loi sur la neutralité du Net… au risque de se retrouver soit avec un texte qui n’a ni queue ni tête, à l’image d’HADOPI, soit avec une super occasion pour l’Elysée d’officialiser la fin en grande pompe d’un Internet neutre, outil indispensable à l’exercice de la liberté d’expression… pour paraphraser le Conseil Constitutionnel.

Un marché de la sécurité complexe

Il faut d’abord distinguer les solutions qui s’adressent aux FAI, aux grandes entreprises, aux PME, puis aux particuliers. On distinguera également les solutions matérielles des solutions logicielles… et les charlots des gens sérieux mais ce n’est pas trop le débat. Nous allons nous concentrer sur deux niches :

  • Les solutions de sécurité ISP class : je parle ici de solutions, souvent matérielles (firewall/routeurs de service…), visant à prémunir le réseau des fournisseurs d’accès d’attaques diverses (dénis de service, vagues de spam, propagation de vers…). Ici, les solutions dites de Deep Packet Inspection ont une utilité certaine car elles servent le bon fonctionnement du réseau en luttant contre des attaques susceptibles de le perturber. Concrètement, des sondes ou des routeurs de services reconnaissent les signatures des attaques et stoppent leur acheminement. Le marché du DPI représente à horizon 2013 environ 1,5 milliards de dollars à lui tout seul. Un routeur de service capable de traiter un flux terabit coûte entre 120 et 250 000 euros. Là si vous m’avez bien lu, vous devez comprendre tout de suite que tout ce qu’on raconte sur le DPI est entièrement faux… fliquer toute le population française ne reviendrait certainement pas des centaines de millions d’euros… à la louche ça doit coûter entre 10 et 15 millions d’euros, à peine la moitié de ce que le gouvernement vient de mettre dans la carte musique jeune.
  • La sécurité des particuliers : là par contre, il faut bien l’avouer, c’est le Far West. L’offre se concentre principalement autour d’un système d’exploitation, Microsoft Windows qui en bon leader est le plus attaqué. Et sur Windows, on trouve de tout : antivirus, firewall, solutions de contrôle parental, solutions anti fishing… Open Office …. De ces solutions nous en retiendrons principalement 2 vu que toutes les autres peuvent être remplacées par un usage simple du cerveau (user side). Nous conserverons donc l’antivirus et le firewall. L’antivirus étant par définition utile quand c’est déjà trop tard (une fois que la machine est infectée), il nous reste le firewall qui contrôle ce qui rentre et ce qui sort de la machine.

Ici, on s’interroge donc sur quel(s) type(s) de solution(s) la HADOPI va pouvoir jeter son dévolu. Procédons de manière simple en nous remémorant ce que stipule le texte de loi : « moyen de sécurisation de l’accès Internet« … et ben on est pas dans la merde. On ne vous demande pas de sécuriser votre ordinateur, ni votre box… mais votre « accès Internet ». Si l’HADOPI veut prendre le texte au pied de la lettre, je vois assez mal comment elle pourrait ne pas se laisser tenter par compléter le dispositif de sécurisation situé chez l’utilisateur par un autre dispositif, placé sur le réseau de l’opérateur, et qui viserait à « dépolluer » l’Internet ou policer les internautes.

La CCIA s’inquiète donc à juste titre car de tels outils, par exemple à l’échelle d’un cloud ou pour du du Software as a Service (SaaS)… on a beau jurer par tous les grands dieux que le filtrage  que c’est totalement transparent… et bien permettez moi d’en douter. Jean-Paul Smets de la société Nexedi a déjà mis en garde à ce sujet après une expérience grandeur nature contre son gré, suite à la mise en place d’un filtrage par Eircom en Irlande : “il y a deux semaines environ, nous avons constaté que l’accès aux serveurs d’application en France s’était dégradé de façon inimaginable pour l’un de nos clients situé en Irlande. Nous sommes ainsi passé d’un temps d’accès de 1/2 sec à 4 sec.” (…) “Ce que nous avons remarqué, c’est que cet incident est arrivé au même moment que le filtrage mis en place par le fournisseur d’accès Irlandais Eircom que notre client utilise” .

L’invective de la CCIA me semble donc parfaitement légitime, ce qu’elle demande c’est un laissé faire, mais là où je vais rejoindre Ludovic, c’est qu’il ne faut pas non plus que ce laisser faire se transforme en laisser aller.

La vaste escroquerie des services gérés.

Après des années années de « ranafout' » voici que les fournisseurs d’accès s’intéressent maintenant à l’acheminement de communications prioritaires. Et là comment vous dire ça sans ménerver… cette histoire de services gérés qui nécessiteraient l’usage d’outils comme le QoS et le trafic shaping afin de préserver l’usage d’un service (dans 99,99% des cas, payant) au détriment d’autres services (dans 100% des cas gratuits oui dans lesquels le FAI n’a rien à gagner), est dans certains cas une splendide escroquerie intellectuelle. Si pour l’Internet filaire on ne rencontre pas encore de manifestations inquiétantes de FAI trop zélés, il en est tout autrement sur les services d’accès à l’Internet mobile

Non vous ne me ferez pas croire qu’il est nécessaire, sur le réseau d’un opérateur mobile, de filtrer la voix sur IP ou que le surf en tethering, sous prétexte que cela consomme de la bande passante et met en danger le bon fonctionnement d’un réseau 3G. La vérité est toute autre, si la VOIP ne fonctionne pas c’est que l’opérateur mobile est avant tout un opérateur téléphonique qui se rémunère à prix d’or sur un réseau qui ne lui coûte quasiment rien. Ce même opérateur, pour que vous puissiez utiliser votre navigateur de votre ordinateur en 3G, préfère évidemment que vous achetiez chez lui une clef 3G avec un abonnement dédié alors que votre téléphone peut tout à fait remplacer votre clef 3G. Bref, ces opérateurs se foutent complètement de vous. Pas convaincus ? Alors expliquez moi pourquoi tous proposent  des abonnements mobiles GSM/3G /EDGE (aux environs de 2 fois le coût d’une connexion ADSL) qui vous proposent de la TV en illimité sur les réseaux 3G. La vidéo, streamée est évidemment bien plus consommatrice de bande passante que surfer sur le web en tethering. En aucun cas le fait d’assurer une qualité de service ne saurait justifier le bridage de la voix sur IP ou du tethering. Il s'(agit d’une atteinte manifeste à la neutralité des réseaux et en plus, les opérateurs se payent le luxe d’appeler ça de l’Internet illimité (une situation qui en pratique ne change pas vraiment depuis les déclarations de bonnes intentions à l’issue du colloque de l’ARCEP.

Un traitement de faveur pour le DPI ?

A l’heure actuelle de nombreux opérateurs expérimentent ou utilisent le DPI pour manager leur réseau, ceci est un usage correct de ces technologies, mais pour franchir le cap de la discrimination des contenus et des services de tiers, il n’y a qu’un pas. Et pour ne pas le franchir, il faudra que le législateur se prononce. Le seul hic, c’est que je le vois très mal dire aux FAI de ne pas détourner l’usage du DPI à des fins de discrimination des contenus du voisin si par malheur il autorisait aux ayants-droit un usage contre nature de ces mêmes outils à des fins de reconnaissance des contenus pour nettoyer Internet des contenus dit illicites car soumis à droit d’auteur. Et comment déterminer si un contenu est illicite ? C’est simple, il suffit par exemple de dire que tout mp3 sur un réseau P2P est illicite, que tout fichier vidéo entre 650 et 720 Mo est un divx piraté… C’est donc la négation parfaite d’une exception au droit d’auteur, le DPI se fichera bien de faire la différence entre un divx mal acquis et un divx légalement acquis et encodé par son propriétaire qui transite sur le réseau pour que ce dernier puisse par exemple le visionner sur son lieu de vacance. Tout fichier est suspect, tous les internautes sont coupables…

Conclusion

Oui, il faudra que le législateur intervienne (et ce n’est pas fait pour me réjouir) en se prononçant sur la neutralité des infrastructures. Une concurrence locale accrue est une bonne garantie, les petits acteurs pourront surveiller les gros et plus nombreux seront ces acteurs, plus le service gagnera en qualité et plus nous aurons des chances de conserver un Net ouvert et neutre. Autre effet bénéfique, les collectivités ne se trouvant pas en zone assez denses pour que les « gros » opérateurs ne daignent s’y établir, auront le loisir de confier des délégations de service public à des acteurs locaux, impliqués au sein de leur région, de leur département, et même de leur commune… tout le monde a donc à y gagner et c’est même peut-être là l’occasion de rattraper notre retard dans l’accès au très haut débit.

Il me semble aussi impératif de fixer légalement des limites à l’usage de technologies de Deep Packet Inspection et d’inscrire dans la loi que ces dernières ne doivent en aucun cas servir à des fins de discrimination, ni a toute pratique susceptible de violer les correspondances des utilisateurs du réseau. En pratique, je doute que le moment soit opportun car je n’ai qu’une confiance très limitée en notre représentation nationale pour comprendre toute la mesure des enjeux de ces questions, et je crains fort que nos députés et sénateurs ne se limitent à une vision franco française d’une problématique de nature internationale dont les enjeux sont capitaux pour notre compétitivité à l’international.

/-) Un énorme merci au channel IRC de FDN

La super méga Haute Autorité Indépendante de l’Internet civilisé

propaganda
CC by Fabrice Epelboin

On se doutait bien que qu’avec toutes ces créations d’autorités indépendantes, au bout d’un moment, on allait chercher à les concentrer afin d’en absorber certaines, dans le but d’arriver plus rapidement aux objectifs fixés, en 2007, par l’Elysée. Dans cette jungle nouvelle des autorités administratives indépendantes, il y en a deux assez particulières, la HADOPI (Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet) que l’on présente plus, et l’ARJEL (Autorité de Régulation des Jeux en Ligne) qui a voulu instituer en France le blocage des sites web sans juge. Les deux autorités portent sur des contenus et services en ligne, certains verront donc une certaine cohérence à les unifier en une seule et même autorité indépendante puisqu’il est entendu qu’à terme, elles utiliseront les mêmes armes (outils de reconnaissance de contenus et blocage et filtrage de sites… DPI, BGP, mouchards filtrants, bref tous les outils indispensables pour civiliser Internet). Voir s’unifier HADOPI et ARJEL vous parait impossible, pas à l’ordre du jour ? Dangereux ? Attendez, c’est après qu’on se mange un vrai coup de civilitude

On va bien te civiliser

Et c’est là qu’intervient un bon gros rapport parlementaire relatif aux autorités administratives indépendantes, oeuvre du Comité d’évalution et de contrôle des politiques publiques, porté  par les députés Christian Vanneste (UMP) et René Dosière (PS). Dans ce rapport, les députés concluent à un nombre trop important d’ Autorités Indépendantes. A la page 27, on apprend que ce sont 40 autorités indépendantes qui ont été créées en France depuis l’apparition de la CNIL en 1978, avec une nette accélération des créations de ces autorités administratives la décennie passée avec en moyenne, une création par an.

Bien entendu, ce rapport ne pouvait passer à côté du cas HADOPI. Mais loin d’en venir à mes conclusions déjà alarmistes au sujet d’un rapprochement ARJEL/HADOPI, le rapport préconise carrément un rapprochement entre l’HADOPI, l’ARCEP et le CSA ! Le parfait comité de censure de la République, un seul pour les gouverner tous, les réseaux, les contenus, les servicesT’es bien civilisé là toi l’internaute non ? On commence en page 54 à aborder le problème HADOPI, un rappel de l’épisode constitutionnel, puis page 77 on trouve une perle, dans laquelle les députés s’intérogent sur la justification de l’existence de l’HADOPI :

« Dans ce contexte les rapporteurs s’interrogent sur la justification del’existence de la Haute autorité pour la diffusion des œuvres et la protection desdroits sur Internet (HADOPI). Il s’agit une fois de plus d’une réponse ponctuelle à un problème spécifique. Certes la création d’une nouvelle autorité indépendante chargée de surveiller le respect des droits et de lutter contre le piratage jouit d’une visibilité maximale pour les auteurs. Mais on peut se demander pourquoil’ARCEP, chargée de réguler les communications électroniques, dont fait partiel’Internet, ne pourrait pas en être chargée. A contrario, les difficultés rencontrées par la HADOPI sont patentes : l’envoi des premières lettres d’avertissements a été retardé de semaine en semaine ; un des principaux fournisseurs d’accès, Free, a annoncé publiquement qu’il ne souhaitait pas relayer les messages d’avertissement auprès de ses abonnés… Les rapporteurs sont donc d’avis d’intégrer la HADOPI dans l’autorité qui remplacera à la fois le CSA et l’ARCEP.(…) Les rapporteurs sont donc d’avis d’intégrer la HADOPI dans l’autorité qui remplacera à la fois le CSA et l’ARCEP ».  La date du passage à la TNT est même envisagée le 30 novembre 2011.

Ce rapport ne semble pourtant pas animé de mauvaises intentions, il invite même à un rapprochement de cette super méga haute autorité super indépendante à travailler de concert avec l’association le Forum des Droits de l’Internet, c’est bien tenté mais cette dernière semble appelée à mourir très prochainement. Mais les deux rapporteurs sont  à mon sens loin de se douter du monstre mutant à 4 têtes qu’ils sont en train de fabriquer. Pire, cette conclusion pourrait être très exactement ce qu’attendait l’Elysée, souvenez vous par exemple de Frédéric Lefèbvre en train de plaider pour confier Internet au CSA, CSA que l’on retrouvait par exemple au colloque de l’ARCEP sur la neutralité des réseaux… la labellisation des sites web, ça ne vous rappelle rien ? Pourtant on en avait parlé pour HADOPI… Même Christine était d’accord… et ça remonte à 2008 ! Votre site sera labellisé par l’Etat, avec une cocarde « presse », « culture », « blog d’emmerdeur »… sympa non ? Je vous sens tout civilisés là…

L’erreur de cette proposition se situe vraiment au niveau de ce que le législateur, sous pression de l’Elysée, a voté sans aucun moment se rendre compte de ce qu’il avait engendré. Jamais le spectre d’un big brother sur le Net français n’aura autant planné. Tout est en place, tous les outils de la censure sont là, unifier tout ce petit monde, leurs armes, et leur champs d’applications (services, réseaux, contenus), c’est créer quelque chose de dangereux et de… suspect. Je n’ai pas la compétence de juger pour les cas des autres autorités administratives, du bien fondé de démarches de rapprochements, mais sur le volet Internet, je ne saurais trop mettre en garde messieurs Vanneste et Dosière sur une fausse bonne nouvelle idée, qui serait de confier Internet, qui n’a toujours pas de ministère, à un monstre contre nature disposant du corpus législatif (HADOPI, LOPPSI, ARJEL, DADVSI …) et des outils (blocage/filtrage des sites, labellisation, spectre du mouchard, contravention pour négligence caractérisée,  double/triple peine, … ).

Il est beau votre Internet civilisé… mais tout ceci est bien trop administratif et pseudo indépendant pour qu’Internet reste un réseau neutre et ouvert.

Et que feriez vous si …

Allez, fermez les yeux et imaginez le pire. Imaginez un instant que votre fournisseur d’accès ait placé à votre insu, un mouchard dans votre box. Ce mouchard pourrait par exemple servir à écouter vos conversation, il serait activable à distance de manière totalement transparente pour votre utilisation quotidienne… Que feriez vous ?

Ne flippez pas tout de suite, c’est juste un petit sondage comme ça pour prendre la température. Et du coup ça me permet de faire un peu de pub pour l’excellent service de 123votez 😉

sondage