HADOPI : Comment TMG compte réellement piéger les internautes ?

On apprenait hier que Trident Media Guard, TMG, pourrait utiliser l’injection aléatoire d’ip  fakées sur les réseaux P2P. Le procédé semble à la frontière de la légalité, mais on ne peut pas vraiment en juger, c’est justement le travail d’un juge de définir si oui ou non l’adresse IP constitue une donnée personnelle.

Mais là n’est pas le sujet du jour, nous allons plonger, techniquement, dans les entrailles du système TMG, car figurez que c’est public ! TMG a enregistré des brevets pour son système d’écoute, ce dernier est donc parfaitement spécifié, et c’est relativement bien fichu et plus élaboré que ce que l’on pensait initialement.  Mais ce qu’il y a de bien avec les brevets, c’est qu’il faut les spécifier correctement si on ne souhaite pas se voir exprimer un refus du bureau d’enregistrement… et comme je vous le disais, ces documents sont publics. Ceci n’est pas un scoop et avait été publié par PCInpact, en revanche ça redevient vraiment d’actualité avec cette histoire d’injection d’IP fakées sur les réseaux P2P.

Qui es tu TMG ?

TMG,  Trident Media Guard, est située à Nantes. Les personnes qui nous intéressent, ce n’est pas le board des associés… mais celles qui semblent constituer le noyau technique de l’équipe, ce sont celles ci :

Tout commence par une saine lecture, celle de ces deux documents.

  • Le premier : METHOD FOR REACTING TO THE BROADCAST OF A FILE IN A P2P NETWORK
  • Le second : METHOD FOR COMBATTING THE ILLICIT DISTRIBUTION OF PROTECTED MATERIAL AND COMPUTER SYSTEM FOR CARRYING OUT SAID METHOD
  • Et descriptif plus sommaire en français.

Ils s’agit d’un descriptif exhaustif du mode d’écoute des réseaux P2P par TMG, avec des beaux schémas qui représentent les cas d’utilisations en pratique. Rassurez vous nous avons quelques relations qui sont très au fait de ces technologies et que ces documents intéressent énormément.

Que controle TMG sur un réseau P2P ?

  • Les réseaux surveillés sont tous ceux basés sur le modèle GNUtella2 (BitTorrent, Emule, Edonkey …)
  • Le Client : le client est un sniffer qui récupéra les données du tracker surveillé.
  • Le tracker : l’endoit où les annonces de fichiers sont faites.
  • A peu près tous les maillons de la chaîne.

Une analyse approfondie de ces documents est nécessaire pour comprendre les faiblesses de ce système, nous en avons repéré, mais des personnes plus expertes que moi sur le P2P pourraient par exemple vous expliquer comment fonctionne les requêtes adressées par le sniffer comprenant :

  • Des faux nombres de bits reçus et envoyés (comme Seedfuck)
  • Un identifiant une adresse IP générée ALEATOIREMENT A CHAQUE CONNEXION (comme Seedfuck), du coup ceci empêche le tracker de bannir le sniffer de TMG.

Voir la section 0132 :

[0132]In order to gain authorization to access the addresses of the peers connected to the network, the request addressed by the sniffer 11 comprises a false number of bytes received, a false number of bytes sent, an identifier and an IP address that are generated randomly on each connection as well as an item of information relating to the desired file. This request, addressed in a periodic manner, allows the sniffer 11 not to be banished by the tracker 4.sub.p.

Read more: http://www.faqs.org/patents/app/20100036935#ixzz0lvBbSwuj

Donc vous n’hallucinez pas, TMG injectera bien aléatoirement des ip dans les réseaux P2P, c’est même très clairement spécifié !

HADOPI : bête tu es, idiote tu resteras

Image 2Une fois de plus, je sors pour vous ma boule de cristal pour vous causer HADOPI … non pas la 1, non pas la 2, mais la 3 ! … celle qui est déjà dans les bacs, cette même HADOPI 3 qui est déjà … obsolète. D’ici là, le contexte aura changé, certes pas des masses vus que les mêmes décideurs toujours aussi compétents penseront, comme à leur habitude, venir à bout du piratage avec de nouveaux artifices bridant un peu plus les libertés de tous. HADOPI 2 n’est même pas encore appliquée que les politiques comme les ayant-droit tirent la sonnette d’alarme : elle ne servira A RIEN… exactement comme tous les internautes, professionnels, spécialistes (…) l’avaient annoncés. On assiste actuellement à une migration massive des utilisateurs de réseaux P2P vers des solutions de type Direct Download, Boards, FTP, DCC, Newsgroups, ou ces fantastiques outils de hackers chinois que sont Google, Yahoo, Bing

Si vous avez un peu suivi HADOPI1, vous n’avez pas manqué de constater que le texte d’HADOPI 2 s’est assez violemment durci avec à la clef : sanction pénale, inscription au casier judiciaire, discrimination sur tout ce qui n’est pas Microsoft et un beau nombre de petits chevaux de Troie venus s’incruster en préparation de LOPPSI 2 pour instaurer le filtrage généralisé (ce même filtrage que tout le monde se défendait de vouloir mettre en place et qui est pourtant dans sa phase béta grâce à l’ARJEL, une haute autorité que peu de monde semble avoir pour l’instant remarqué). Comme à son habitude, (Madagascar Mon Amour, Eric Besson, celle ci elle est pour toi ;), on en recausera un peu plus tard, mais t’inquiètes pas, tu n’y échappera pas) le gouvernement oublie qu’il est en train de légiférer sur un truc qui le dépasse, donc des petits malins en profitent pour lui adresser un joli pied de nez.

Petit rappel des faits

  • En 1999 (et oui 10 ans déjà), un jeune américain, Shawn Fanning release NAPSTER et surtout son code source en GPL, le succès est immédiat, c’est la première application de téléchargement en peer to peer. Napster, érige le format de compression MP3 au rang de standard plébiscité par les internautes … 10 ans après le MP3 est toujours ce standard, ce au grand dam de Sony qui aurait bien voulu imposer son Atrac3 + avec ses lecteur MD qui furent eux aussi un splendide flop. Napster qui a tenté de se reconvertir sur un modèle légal est un véritable flop, tous les utilisateurs migrent.
  • En 2001, Pascal Nègre annonce la fin du piratage, selon lui, c’est finit puisque l’industrie du disque vient d’avoir la peau de Napster. Manque de bol, Pascal fait connaissance avec la GPL. Cette licence le rend hystérique, à un point tel qu’il en viendra  à dire des bêtises encore plus énormes qu’à  son habitude, quand il en aura vraiment compris le concept, soit 4 ans plus tard (Pascal n’a jamais été un rapide).
  • En 2002, la LSI (Loi sur la sécurité Intérieur), marque le début d’une mode : l’extension d’une loi anti-terroristes à Internet. C’est Bien connu, Ossama Bin Laden a fait tombé les deux tours New-Yorkaises à coup de modem… Microsoft Flight Simulator n’est pas retiré des rayons de la FNAC, cependant, la LSI, connue aussi sous le nom de Loi Sarkozy 2 et véritable ancêtre de la LOPPSI 2, nous le jure, les terroriste de l’Internet vont déguster. Déjà, à l’époque de la LSI, ça commence à gronder sur le Net. Pour mettre tout ça en place, on fait de la programmation … attention, on pisse pas du beau code Python ou Perl là … on accouche plutôt de ça.
  • En 2004, la LCEN est adoptée et porte un premier coup aux communautés du logiciel libre, et introduit un brin de flicage qui n’aura de cesse de s’amplifier par la suite. Déjà à l’époque, on nous dit que c’est pour notre sécurité et pour lutter contre le terrorisme. C’est avec cet argument stupide qu’on en profite pour tenter de nous faire passer le filtrage des correspondances privées., plus particulièrement des emails La responsabilité des hébergeurs, elle aussi bien modifiée par cette loi, porte une atteinte grave au principe de la Net Neutrality.
  • Dans le monde de la musique, pendant 4 ans, c’est le néant, en dehors de concentrations supplémentaires (fusion AOL/Time Warner, Sony/BMG…) rien ne bouge puisque l’industrie du disque pense avoir gagné. Sauf que voilà, le code de Napster étant libre, des dizaines et des dizaines de Napster Like ont fait leur apparition : Kazaa, Emule, E-Donkey et consorts … L’idée de la licence globale commence à faire son chemin. Les chiffres des ventes de CD commencent à vraiment plonger, les fusions acquisitions ne peuvent plus masquer la misère, les majors doivent donc accepter le fait qu’elles n’ont rien vu venir. C’est donc parti pour un coup de lobbying qui porte vite ses fruits avec le début des verroux numériques : les DRM. Sony s’illustre en créant un DRM qui défraie la chronique en infectant avec un rootkit des millions d’ordinateurs dans le monde. Le coût de cette prouesse peut facilement être évalué à plusieurs millions de dollars pour les entreprises qui ont du s’en débarrasser partout dans le monde. En France, l’industrie du disque pète littéralement une pile et invective les communautés du logiciel libre :  Vendredi 18 novembre 2005, au ministère de la Culture, le SNEP et la SCPP déclarent aux auteurs de Logiciel Libre : « Vous allez changer vos licences. » La SACEM ajoute : « Vous allez arrêter de publier vos logiciels… que de chemin accompli puisque 4 ans plus tard, Christine Albanel en viendra tout de même à préconiser l’installation du firewall libre Open Office... vous voyez, ça prend du temps … mais ça progresse non ?
  • En 2006, c’est la fête du slip, l’industrie du disque remporte une éclatante victoire avec le DADVSI et plombe ainsi son propre chiffre d’affaire : les DRM rendent les CD illisibles, les mesures de contournement sont devenues une norme alors que le DADVSI entendait les réprimer. L’effet est catastrophique (là encore comme prévu par tous les spécialistes) puisque les CD ne sont plus lisibles sur de très nombreux matériels. Ainsi il devient plus intelligent de télécharger un MP3 que d’acheter un disque dont on est pas assuré de pouvoir le lire dans l’autoradio de son propre véhicule ou sur son ordinateur. En 2009, DADVSI n’est toujours pas abrogée, aucune étude d’impact n’a été produite contrairement aux promesses de gascons faites à l’époque. Le DADVSI aura eu un autre effet non mesuré, celui d’échauder les communautés du libre et plus généralement les internautes et les consommateurs de biens culturels qui commencent à sérieusement s’organiser (initiative EUCD.info).
  • Par un étrange raccourcis chronologique, nous voici en 2009. Ah 2009, quel poème, sa crise financière et économique, le flop d’HADOPI puis le vote vendetta d’HADOPI 2 … bon tout ça vous êtes déjà au courant, pas a peine d’en remettre une couche. L’explosion du collectif La Quadrature du Net est le fait historique qu’on apprendra dans les écoles dans 10ans en se poilant un bon coup sur les citations de Christine.

2010 : Orwell est un nain de jardin

Il suffit de s’appuyer sur le background assez lourd de ces quelques gus dans un hémicycle pour se douter de ce qu’il risque de se par la suite.

Dans ma boule de cristal, je vois pour HADOPI 3 des instants d’une bêtise rare comme

  • toujours aucune étude d’impact d’HADOPI 2, ils auront tellement les boules du résultats que de toutes façons, le mieux est de ne pas en produire (comme pour DADVSI) ;
  • l’obligation faite aux FAI de filtrer par défaut des sites comme Megaupload, Rapishare, dl.free.fr etc … ;
  • l’introduction de mouchards de perquisition électronique se passant totalement de commission rogatoire (on va se la faire comme en Allemagne, en hardware, directement dans les box avec un plan de déploiement sur 3/4 ans, mais comme personne ne voudra financer cette blague, le calendrier ne sera jamais respecté, il sera enfin abandonné) ;
  • l’interdiction de télécharger ou de donner accès à des sites proposant des outils de chiffrement des communications ;
  • de nouvelles taxes prélevées sur le chiffre d’affaire des Fournisseurs d’Accès à Internet qui feront augmenter de fait le prix des abonnements pour le particulier ;
  • le CSA se vera confier une labellisation “soft” des sites qui en font la demande, puis une liste de critères de certifications fera son apparition petit à petit ;
  • ce sera le retour des listes blanches sur les réseaux publics wifi.

Mais je vois aussi :

  • un nouveau bash au Conseil Constitutionnel (après le DADVSI et surtout HADOPI 1) peut être encore plus retentissant que pour HADOPI 1, dans sa décision le Conseil expliquera une fois de plus que non seulement Internet est un outil nécessaire à l’exercice de la liberté d’expression, mais il viendra insister sur le fait que les outils de chiffrement et l’anonymat sont garants, eux aussi, du plein exercice de cette liberté d’expression ;
  • la démission en plein examen du texte de Frédéric Mitterrand qui ne supportera plus la pression, tant il aura compris que les idioties que luis sifflent à l’oreille Olivier Henrard viennent plomber tout le peu de crédibilité qui lui reste ;
  • le contournement des interdictions cryptographiques grâce à de nouveaux outils de convolution comme Perseus ;
  • la contrefaçon, la vraie va exploser. Les DVD gravés vont se vendre comme des petits pains aux Puces de Sain-Ouen, Hadopi aura malgré elle créé une nouvelle économie que l’on croyait morte et en enterrée ;
  • les cafés, hôtels et restaurant à qui HADOPI aura couper la connexion vont commencer à se reveiller ;
  • les premiers mails d’avertissement de l’HADOPI aux entreprises vont créer une levée de bouclier des professionnels ;
  • Jacques Séguéla boycottera Google tout seul.

Là vous vous dites que pour HADOPI 3, un ou deux député aura lu ce blog et saura y détecter les quelques bidules qui clignotent en rouge pour pour avertir le gouvernement qu’il est dans l’erreur… ce sera sûrement le cas. Mais si le gouvernement n’était pas (tout à fait volontairement) sourd et aveugle, les industries culturelles seraient déjà un peu moins moribondes. Pourquoi donc changer une équipe qui gagne après tout ? Le populisme électoral, nous le savons, ça paye. A votre avis, qu’y a t-il de plus vendeur ? Sauver la culture et inventer de nouveaux modèles gagnant/gagnant ou gagner les prochaines présidentielles en claironnant qu’on a activement lutté contre des pirates pédo nazis imaginaires des Internets ? Vous pensez que l’électorat de l’actuelle présidence ira vérifier si les pirates zombies mutants pédos nazis existent ? Si TF1 le dit c’est que c’est vrai non ?

Logo “I Fuck HADOPI” By Andre Loconte