HADOPI : vers la fin d’une absurde prohibition culturelle ?

prohibitionJe vous annonçais ce matin que quelque chose d’énorme était en train de se préparer rue du Texel… et effectivement, la surprise est de taille. Comme je vous l’expliquais tout à l’heure, l’HADOPI marque une volonté de sortir de la riposte graduée contre laquelle nous luttons depuis plus de 4 ans. Mais contrairement à ce que l’on peut déjà lire dans certains articles, il ne s’agit pas d’une licence globale : ce ne sont pas les utilisateurs qui financeraient directement par une contribution ce système, mais les acteurs qui en tirent un profit financier. L’HADOPI envisage ce que nous n’osions nous même pas imaginer après tout ce temps à avoir l’impression de lutter contre des moulins à vent : une reconnaissance, formelle, des échanges non marchands, s’appuyant sur un système de rétribution des auteurs, financé par les diffuseurs faisant commerce (direct ou indirect) de la diffusion d’œuvres de l’esprit dématérialisées.

Pour ceux à qui ces mots font mal au crâne, je vais vous la faire plus simple :

Si ce projet est mené à bien, nous pourrions enfin échanger en peer to peer sans qu’une bande de guignols ne tente de flasher notre adresse IP pour la transmettre à l’HADOPI… fini la police privée du P2P, fini les spams qui vous demandent de « sécuriser votre connexion » sans vous expliquer comment, fini le risque d’amende, fini le risque de se retrouver devant un juge, fini les coupures de connexion, et surtout… fini le délit de contrefaçon totalement crétin lorsque l’on télécharge un film ou un MP3.

Ça, c’est ce que la majorité d’entre nous appréciera, c’est déjà en soi une première mondiale. Mais il faut pousser la réflexion un peu plus loin pour comprendre jusqu’où va cette proposition de reconnaissance des échanges non marchands. L’HADOPI dit étudier la faisabilité de cette reconnaissance des ces échanges en proposant une compensation financière aux ayants droit, payée par les entités qui tirent un profit direct ou indirect de la mise à disposition des œuvres.

Les implications dépassent même le stade de la diffusion des œuvres culturelles. Les effets de cette petite révolution si elle venait à se concrétiser, serait un moteur pour l’innovation dont de nombreuses PME ou TPE pourraient tirer profit. Même des plateformes aujourd’hui considérées comme illégales pourrait devenir parfaitement légales en contribuant à la rémunération des auteurs. L’innovation dans la diffusion des œuvres est principalement freinée par les coûts d’accès aux différents catalogues. Pire, impossible pour une société ne disposant pas de plusieurs millions d’euros d’accéder à tous les catalogues, et ainsi de proposer une « offre légale » digne de ce nom. La reconnaissance des échanges non marchands pourrait ainsi mettre un sacré coup de pied dans la fourmilière et les ayants droit n’auraient plus aucun intérêt à restreindre l’accès à leur catalogue puisque ce dernier s’échangerait d’une manière ou d’une autre, à eux de décider s’ils veulent tirer un profit des échanges au lieu de rien du tout… et ça, c’est la vraie révolution. Ceci pourrait donc au final directement profiter à des auteurs qui ont le malheur de faire partie du « mauvais catalogue », celui auquel s’agrippe un ayant droit le privant d’espoir de toute diffusion, et donc de toute rémunération.

Il y a quand même maintenant deux caps qui vont être compliqués à franchir :

Le premier est d’ordre légal. C’est là que nous verrons si le gouvernement entreprendra la sortie de la riposte graduée, ou si ce dernier, reniant ses promesses de campagne, décide de ne rien faire et donc, de rester dans une ère répressive absurde qui pénalise autant les internautes que les auteurs. Quand on fait rentrer quelque chose d’aussi débile que la riposte graduée dans le corpus législatif, il est forcément un peu compliqué de s’en débarrasser.

Le second est d’ordre technique puisqu’il touchera au modèle de rémunération et risque de s’opposer de manière assez frontale aux réticences des SPRD qui profitant de leur quasi monopole, ont su créer un véritable système mafieux épinglé à maintes reprises par la cours des comptes.

Bref, la bataille HADOPI n’est pas terminée, et ce n’est peut être pas le CSA qui la gagnera.

L’HADOPI ouvre la porte à la normalisation des échanges non marchands

lolcat-gets-bustedC’est une petite révolution. Après plus de 3 ans de choc frontal avec les Internautes la Haute Autorité ouvre (enfin) une porte à la reconnaissance des échanges non marchands (attention ça va seeder chérie). Dans un communiqué daté de ce jour, l’HADOPI « commence l’analyse de la possibilité, ou non, de modéliser un système de rémunération compensatoire des échanges non marchands« . Les mots ont leur sens. On parle bien ici de sortir du principe de la riposte graduée et _enfin_ d’envisager un système de rémunération des auteurs qui ne reposerait plus que sur le bon vouloir des SPRD en quasi monopole et des copyright nazis.

Il n’est pas ici question de licence globale mais bien d’aller chercher l’argent là où il se trouve, sur les plateformes de téléchargement qui tirent profit de la diffusion des œuvres, tout en permettant à des trackers torrent de « vrai partage » d’exister, et ce en toute légalité. L’HADOPI parle d’un cercle vertueux, et effectivement, on peut très bien imaginer à terme certaines « grosses » boards warez qui tirent profit de la diffusion d’œuvres (des revenus publicitaires), devenir légales, si elles acceptent de reverser une partie de leurs bénéfices aux auteurs.

Tout le travail porte maintenant sur le calcul de ces participations en fonction de paramètres qui restent probablement à définir, mais c’est tout de suite plus plausible et réaliste que les spécifications techniques d’un « contre logiciel » comme l’appelait Christine Albanel.

Oui c’est bien une petite révolution, un virage à 180° qui est en train de s’opérer… et peut être le début de la sortie des sombres années de cyber-prohibition culturelle que nous vivons. Légaliser les échanges non-marchand en faisant payer ceux qui font commerce des oeuvres.

Voici le communiqué complet que je vous invite à lire et à relire, à en débattre, car on peut penser ce que l’on veut de l’HADOPI, mais nous avons peut être sous les yeux le geste que beaucoup d’entre nous attendent depuis le début. Certes il ne faut pas se réjouir trop vite, certes, c’est loin d’être fait, mais si l’Autorité marque une volonté affichée de sortir de la riposte graduée pour enfin permettre la circulation des œuvres, c’est un pas de géant

Accès aux œuvres sur Internet : l’Hadopi engage l’analyse d’un système de rémunération proportionnelle du partage.
27/06/2013

Dans le cadre de ses travaux d’étude et de recherche, l’Hadopi commence l’analyse de la possibilité, ou non, de modéliser un système de rémunération compensatoire des échanges non marchands. Ce travail prospectif s’inscrit dans le cadre de la mission légale de l’institution d’identification et d’étude des modalités techniques permettant l’utilisation illicite des œuvres sur les réseaux et de propositions de solutions pour y remédier.

Selon l’approche retenue, un même usage est qualifié soit de « piratage en ligne », soit « d’échange non marchand ». Cet usage a été rendu possible par internet et les sites et services développés sur le réseau. Il est complexe, migrateur et résilient. La dernière enquête publiée par l’institution, « carnets de consommation », en donne une illustration riche d’enseignements.

Face à la permanence de cet usage, que l’Hadopi a pour mission de dissuader, il reste à apporter une réponse durable à la question de la création, de l’acquisition et du partage des œuvres sur internet. La possibilité, ou non, d’intégrer les « échanges non marchands » dans cette réponse est posée dans le rapport de la mission « Acte II de l’exception culturelle ».

En accord avec la Présidente de l’Hadopi, le Secrétaire général a présenté au Collège les orientations de cette analyse. Son objectif est d’évaluer la pertinence et la faisabilité d’une « rémunération proportionnelle du partage » emportant acceptation des échanges concernés.

L’expérience acquise par l’institution au cours des trois dernières années tendrait à laisser penser que l’intégration de ces usages pourrait être de nature à créer un cercle vertueux favorable tout à la fois à la création, aux usages, à l’innovation et à un meilleur partage de la valeur.

Cette intégration pourrait être envisagée sous la double condition d’une définition légale claire du statut des œuvres et des usages, et d’une compensation équitable et proportionnelle pour les titulaires des droits des œuvres échangées.

L’exception pour copie privée comme la rémunération équitable fournissent des modèles dont il semblerait possible de s’inspirer pour aller en ce sens, notamment en matière d’inscription dans le droit et de mode de répartition en gestion collective.

La piste de réflexion poursuivie s’appuie sur deux postulats : seule la consommation non marchande des œuvres protégées peut engendrer une compensation financière potentielle ; seules les entités tirant, par leurs activités, un gain marchand des échanges non marchands des œuvres protégées doivent participer à la compensation, à due proportion du volume, de la nature des activités, et du profit qui en est retiré.

Les travaux ont vocation à valider ou invalider la faisabilité d’un tel système et d’en évaluer la pertinence. Ils feront l’objet de consultations et de publications régulières et ouvertes.

Ils porteront pour l’essentiel sur la possibilité, ou non, de déterminer un profil d’usages, un profil d’intermédiaires redevables, une méthode de calcul de barème de rémunération pour les titulaires de droit, déterminant les caractéristiques d’un modèle valide de rémunération ; et, si un tel modèle semble exister, ses conséquences économiques et son encadrement juridique.

Un premier document de travail balayant les différents usages va être rendu public prochainement. Il a pour objectif de clarifier et préciser ceux d’entre eux susceptibles d’être qualifiés d’ « échanges non marchands ». Il sera soumis à remarques et contributions.

Les résultats seront présentés au Collège de l’Hadopi qui, sur le fondement de ses compétences légales, décidera des suites qu’il choisit de leur donner.

Le business model de la filière disque expliqué en 140 caractères

ripUne décennie de perdue pour découvrir ce soir, en 140 caractères, le business model de la musique. Des heures de débats parlementaires complètement débiles pour accoucher d’un texte tellement con, que même le gouvernement actuel n’ose plus y toucher de peur de faire une boulette… raison pour laquelle il a chargé Pierre Lescure, un homme de télé, pour confier les prérogatives de la haute autorité Internet au CSA. Quelle monumentale erreur de casting… pas le CSA hein ! Pierre Lescure.

Pierre Lescure aura eu besoin d’un rapport de 486 pages et 2,3kg, là ou Pascal Nègre, en moins de 140 caractères et moins de 1ko apporte la solution à tous les maux de la culture en France. C’était pourtant tellement évident ! C’est ces cons d’artistes qui veulent pas crever qui tuent l’industrie du disque ! Du coup, quand il y en a un qui passe l’arme à gauche, et bien le Pascal, il débale son business model. C’est simple, concis et efficace :

Pascal Nègre Moustaki

Petite rétrospective

  • Ces belles années 70 : la drogue coule à flot : LSD, héroine… le tout arrosé d’alcool… ces temps bénis pour l’industrie musicale ou rien que la première année, en 1970, Jimi Hendrix et Janis Joplin ont eu la décence de mourir.
  • Ah les années 80, ces cons de beatniks étaient tellement raides qu’on pouvait leur faire écouter n’importe quoi. Du reggae (ah les cancers du poumon ce que c’était bon pour le chiffre d’affaires… mais ce n’était rien en comparaison des cancers du foi des punks ou des AVC des danseurs de disco, dus à des surdoses de coke… putain ce que c’était bien les années 80 ! On produisait de grosses merdes, pas cher, avec un synthé en guise philharmonique, et ça se vendait !
  • Les années 90 ont marqué un tassement du chiffre d’affaires : voilà que des mecs se mettent à faire de la musique dans leur chambre et à gober des ecstasy ou du speed… visiblement pas assez coupé pour contrecarrer le danger Internet qui se profile.
  • Puis arrivent ces satanées années 2000… là c’est le déclin. Voilà que ces imbéciles d’artistes ne veulent plus crever. Ils arrêtent de fumer, commencent à bouffer moins gras, ils font du sport, ils ne se droguent même plus. Impossible de trouver de vrais professionnels.

Alors le business model d’Universal pour les années 2010, le voici :

  • Si vous êtes vieux ;
  • Si vous êtes malade ;
  • Si vous vous droguez ;
  • Si vous êtes alcoolique ;
  • Si vous avez du cholestérol ;
  • Si vous ne faites pas de sport…

… veuillez contacter @PascalNegre de toute urgence, pour un contrat d’exclusivité comprenant production, distribution et têtes de gondoles garanties pour vos « compiles tribute ». Le cercueil et la cérémonie sont négociables à la signature… suicidaires acceptés.

Artistes, soyez pros, soyez rentables, crevez bordel !

Communiqué de presse de l’ #HADOPI sur la mission #Lescure

Je vous le livre ici de manière brute, on le commentera un peu plus tard 😉

Marie-Françoise Marais se réjouit des recommandations de consolidation et d’évolution des missions actuellement assurées par l’Hadopi proposées par Pierre Lescure

Marie-Françoise Marais, présidente de la Haute Autorité pour la Diffusion des Œuvres et la Protection des droits sur Internet (Hadopi) a pris connaissance des préconisations du rapport remis par Pierre Lescure au président de la République et à la ministre de la Culture et de la Communication.
En réponse à la vaste mission confiée, le rapport trace une feuille de route ambitieuse pour la modernisation de l’action publique en faveur de la création et des usages culturels sur internet, bien au delà de la seule question de protection des droits de propriété intellectuelle sur internet qui a trop longtemps monopolisé le débat au détriment d’enjeux considérables laissés en jachère.
La confirmation de la légitimité et de l’utilité des missions de l’Hadopi qui lui sont actuellement confiées par le législateur ainsi que la reprise de ses travaux par la mission Lescure apportent une reconnaissance au travail difficile de défrichage et de pédagogie de la propriété intellectuelle conduit par l’Hadopi et ses équipes depuis trois ans. Inscrire ces missions dans une stratégie plus globale leur donne leur juste place.
Les propositions relatives au développement des offres sont particulièrement pertinentes. La Haute Autorité a pu, en effet, constater combien l’absence de moyens efficaces de régulation comme de soutien aux initiatives novatrices interdisait toute action publique ambitieuse et efficace en ce sens.

Le maintien du dispositif de réponse graduée, débarrassé de certaines de ses contraintes, lui permettra de gagner en efficacité envers les comportements les moins graves. Pour les comportements les plus graves, les propositions de moyens plus efficaces de lutte contre les atteintes aux droits de propriété intellectuelle effectuées par d’autres solutions techniques que le pair à pair apportent un complément indispensable.
Enfin, le rapport ne néglige pas l’importance d’une fonction d’observation étendue, fortement indépendante et capable d’accéder aux informations nécessaires, placée au cœur de tout dispositif public dédié aux usages culturels sur internet.
Il revient naturellement au législateur d’adapter le dispositif actuel pour apporter les réponses les plus appropriées. En proposant de conserver l’ensemble des missions au sein d’une seule entité publique, le rapport ouvre des perspectives garantissant la poursuite d’un travail public spécialisé autour des questions de diffusion des contenus culturels sur internet, nécessaire à la bonne prise en compte de la très haute technicité du sujet et de son évolution permanente.

Forte du constat établi par Pierre Lescure, la présidente de l’Hadopi continuera la mise en œuvre des missions dont l’institution a actuellement la charge, tout en restant à la disposition des pouvoirs publics pour le travail qui devra être désormais conduit autour de ces propositions et, comme elle l’a fait avec la mission conduite par Pierre Lescure, pour partager l’expérience acquise et le savoir-faire de ses équipes.

 

HADOPI : An interoperable and modular XML bullshit

L’HADOPI a aujourd’hui publié un document intéressant à plusieurs égards. Il s’agit d’un appel à expérimentations émanant des Labs. Il commence à dessiner quelque chose qui ressemble de manière très; très… très lointaine à de la « sécurisation d’accès Internet », un terme qui à ce jour ne veut strictement rien dire. Je vous avais déjà expliqué que si l’on veut sécuriser un accès Internet, il existe bien un moyen, mais qui a un léger inconvénient dans le cadre implicite fixé par HADOPI. Ce cadre implicite, c’est « empêcher l’utilisation, frauduleuse ou non, des connexions Internet à des fins de téléchargement illégal ». On a beau vous raconter n’importe quoi aujourd’hui sur la mission divine de l’HADOPI qui va d’un coup de baguette magique protéger vos accès Internet, jusqu’à preuve du contraire, c’est bien pour faire la chasse au partage qu’elle a été votée. Et qu’on ne vienne pas me tanner avec la pédagogie, on aurait pu en parler si le délit de contrefaçon avait été supprimé dans le cadre d’un téléchargement… mais c’est loin d’être le cas.
Le moyen de sécurisation de l’accès Internet auquel je fais référence n’est en outre qu’une brique pouvant concourir, couplé à de bonnes pratiques, à la sécurité de vos données et de vos échanges sur Internet. Il s’agit d’un VPN, chiffrant de bout en bout vos connexions. Et l’inconvénient est de taille puisque cette solution qui sécurise pour le coup vos communications rend sourds et aveugles nos amis de TMG… et donc l’HADOPI parfaitement inutile.
Les Labs de l’HADOPI se secouent donc les neurones pour innover. Les neurones ont beau être au rendez-vous, si ces dernières s’agitent autour d’une problématique mensongère, vous vous doutez bien qu’au final on obtiendra une belle bouillabaisse, mais certainement pas de quoi « sécuriser un accès Internet ».
Le document, disponible ici, souligne que cette initiative émane des Labs en totale liberté et se veut un préalable à l’adoption de spécifications fonctionnelles de « moyens de sécurisation » (MS) d’accès Internet. C’est clair pour vous ? … Et bien pas pour moi.

☠ Reposons le problème

Alors qu’on ne sait toujours pas où la responsabilité d’un internaute s’arrête dans ce que le texte de loi appelle « sécurisation d’une connexion Internet », l’objectif est ici d’inventer une nouvelle génération de logiciel qui n’est :
  • ni un antivirus,
  • ni un firewall
  • ni un logiciel de contrôle parental
  • ni un IDS (système de détection d’intrusion)…
Christine Albanel l’avait appelé un « contre-logiciel », j’aimais beaucoup ce terme car on ne savait pas trop ce que ce logiciel devait contrer, mais on se doutait bien qu’elle allait nous en sortir une bonne. Au détour d’une question parlementaire, nous apprenions que le « contre-logiciel » de Christine Albanel, c’était OpenOffice, la suite bureautique qu’elle confondait avec un firewall.
Exit donc les antivirus, les firewalls, les solutions de contrôle parental, les IDS et les contre-logiciels, on parle maintenant assez sobrement de « moyen de sécurisation »… mais un moyen de sécurisation qui ne sait pas trop ce qu’il doit sécuriser. Le « moyen de sécurisation » c’est donc un peu de tout ça sans vraiment l’être et surtout, sans objectif clairement définit en matière de résultat attendu. Si vous me suivez jusque là, vous devez sentir vous aussi que dés le début, ça s’engage plutôt mal.

☠ Re-Reformulation de la problématique

Aujourd’hui, soit quand même plus de 3 ans après l’adoption d’HADOPI 2, alors que nous sommes dans une phase répressive assumée, les labs sont investis d’une mission plutôt casse gueule :

« Travailler à l’élaboration d’un bidule qui va permettre de spécifier un machin nouveau qui fait des trucs innovants mais qui restent à définir ». (NDLR : « putain 3 ans! »)

Comme nous sommes assurés qu’il ne peut ici s’agir de spécifier un moyen de sécurisation d’accès Internet qui sécurise la connexion de l’abonné au niveau :
  • de l’accès à son réseau local ;
  • l’accès à son système ;
  • de la protection de son patrimoine informationnel ;
  • de la protection de son identité numérique ;
  • du transport de ses données sur le réseau…
bref de la sécurité quoi… comme ce qu’une connexion sécurisée devrait apporter en terme de garanties pour protéger contexte et contenu des communications (pas de chiffrement surtout dés fois que ça empêcherait TMG de flasher les internautes), on s’oriente vers notre fameux « truc ».

☠ Un appel à expérimenter le truc qui fait des bidules

C’est déjà moins simple non ? Mais tenez vous bien, ce n’est pas terminé.

Le document nous apporte tout de même de bonnes nouvelles. Le truc devra être :

  • Interopérable : les geeks se réjouissent, il vont pouvoir installer le même truc sur le Windows, leur GNU Linux, sur leur BSD, sur leur Mac, et même sur leur Smartphone… je sens que tu exultes toi le geek.
  • Modulaire : à vous les joies de l’écriture de plugins à truc pour faire d’autres machins que les bidules pour lesquels il est prévu initialement… (Régis tu as un bout de pomme de terre sur la joue…).
  • Encore plus modulaire ! Tu ne t’es pas gavé avec l’écriture de tes plugins à truc pour faire d’autres machins ? Que dirais tu de listes et de règles qui interagissent avec la chose ?… les mots commencent à me manquer.
  • Compatible avec des plugins à trucs qui font des bidules, et autorisant des listes et règles qui font des choses différentes des machins du truc… PFIIIIOUUUUU !
Que nous manque t-il ? hummm wait… Une API bien sûr ! Et pas n’importe quelle API, pas une API de gonzesses, une API d’hommes ! Une vraie ! En XML et tout ! Une API transversale et interopérable ! La transversalité et l’interopérabilité d’une API permettant d’écrire des plugins du truc pour faire des bidules, passés au shaker avec les listes et les règles pour faire des choses sur le machin… je pense que nous le tenons notre concept.

☠ Et ça aurait pu être pire !

La bonne nouvelle ? La bonne nouvelle, nous la devons au fait que malgré une problématique mensongère, mal posée de manière délibérée et parfaitement à côté de la plaque de ce qu’elle prétend être, ce soit Jean-Michel Planche qui travaille sur ce dossier, entouré de personnes plutôt cortiquées, et qu’il le fait dans un esprit d’ouverture et de transparence appréciable. Nous avons échappé au MPLS et la priorisation de trafic en coeur de réseau, aujourd’hui abandonné pour un « truc » côté utilisateur.
Le document s’oriente donc vers un MMF : un Moyen de Maîtrise des Flux réseaux laissant toute latitude à l’utilisateur et qui respectera les RFC relatives aux DNS (… t’enflamme pas Régis, c’est juste afin de mieux les filtrer, c’est pas avec ça que t’auras ton BIND DNSSEC censorship proof à la maison en deux clics).

☠ An interoperable and modular XML bullshit

Vous savez quoi ? Je vous disais déjà en 2009 que ces moyens de sécurisation seraient une arlésienne. Aujourd’hui j’en suis définitvement convaincu. La cause était d’ailleurs entendue quand le rapporteur Muriel Militello avouait que le débat technique ne l’intéressait pas. Nos parlementaires ont voté un texte de merde… ils auront donc du caca, mais interopérable, modulaire et en XML.

Internautes, on vous la mise bien profond avec HADOPI… et c’est pas terminé.

HADOPI : son pire échec

Alors qu’HADOPI s’apprêtait à montrer son vrai visage, pas celui de la pédagogie, mais celui de la répression des internautes partageurs par voie de justice, la Haute Autorité s’est récemment retrouvée malgré elle au coeur de l’actualité. Je vous disais donc que tout commençait par la transmission de dossiers à la justice, c’est le Point qui a révélé la mise en place de l’artillerie répressive, invoquant des sources judiciaires. Numerama a eu le bon goût de publier un petit guide utile aux avocats qui auront à défendre certains internautes, pointant du doigt quelques courants d’air de procédure. Un peu partout en France, les procureurs de la République vont donc maintenant voir affluer ces dossiers au motif d’un délit d’un affligeant ridicule, le fameux « manquement à l’obligation de surveillance de l’accès à Internet« . Rappelons qu’à ce jour, les internautes ne disposent toujours pas des moyens de sécurisation promis, et pour tout vous dire… ils ne sont pas prêts de voir le jour. Pire, on ne sait toujours pas ce qu’il faut sécuriser exactement, attendu que le décret d’application omet finement de définir ce qu’est une connexion Internet. C’est donc à ce moment clé que tout le monde se pose la question légitime : « il y a quoi exactement dans ces dossiers transmis à la justice ?« . Contre toute attente, ce ne sont pas les plaignants (les ayants droit) qui allaient fournir des éléments, ni TMG, mais l’HADOPI.

 ☠ Y’a quoi dans cette boite noire ?

Peu après, la Haute Autorité publiait le rapport de David Znaty. Le rapport de monsieur Znaty a d’ailleurs été attentivement lu et critiqué de manière constructive par Zythom, expert judiciaire lui aussi dont je ne saurai trop vous recommander de lire régulièrement le blog.

A l’époque je m’étais insurgé du manque de transparence autour de l’audit réalisé par le cabinet HSC, qui compte parmi les tout meilleurs. J’avais d’ailleurs fini par publier ce que j’étais parti présenter à la commission de protection des droits de l’HADOPI suite à la découverte d’un serveur ouvert aux 4 vents qui nous indiquait assez de choses déjà à l’époque pour savoir comment TMG travaillait au flicage des internautes. Les auditeurs étant soumis à des closes de confidentialité, ces derniers n’avaient pas pu publiquement s’exprimer autrement que par une petite phrase assassine en réponse à une question en off du SSTIC « TMG était déjà avant ça à classer dans la catégorie charlots« .

L’audit d’Hervé Shauer a très probablement révélé de graves anomalies. L’enfumage de la CNIL n’y fera rien. Elle donna son accord à TMG pour reprendre ses activités. Oui mais voilà… ça coince. Et ça coince au niveau de l’HADOPI qui n’a pas voulu rétablir l’interconnexion entre son système de traitement de données et celui de TMG. Les IP aujourd’hui flashées par TMG transitent donc en train entre Nantes et Paris, sur un disque dur, dans les mains d’un coursier.

☠ Pwn1ng TMG for fun profits

L’affaire TMG avait sérieusement entamé le capital confiance déjà pas folichon qu’on pouvait porter au dispositif de riposte dite graduée. Le capital confiance en TMG, ses processus de contrôle bien sur, mais également le capital confiance envers les ayants-droit qui ont toujours marqué certaines prédispositions à cacher la misère.

Il faut bien avouer qu’en période de campagne électorale, c’est quand même plutôt gonflé. La politique numérique de Nicolas Sarkozy se dévoile au plus mauvais moment. De la répression qui marchouille, des délits mal définis techniquement et s’appuyant sur un chunk de 15 secondes tirant son checksum dans les métadatas d’un master. Derrière ce jargon technique, certains d’entre vous auront parfaitement compris qu’il suffit donc de remasteriser une oeuvre pour que ses copies numériques deviennent indétectables par TMG, vu que ces derniers n’auront pas les metadatas d’une oeuvre remasterisée si personne ne leur transmet.

Nous attendons tous avec une grande impatience de découvrir le contenu des dossiers transmis à la justice. Ayants droit, vous êtes prévenus, les internautes sont joueurs, vous commencez à le savoir…

☠ De la porosité de la citadelle pseudo imprenable

Et c’est désormais une tradition, quand le Net est agressé, il se défend. L’occasion était trop belle, il fallait marquer le coup et « fêter » la mise en place de la machine répressive. Anonymous a donc bondi sur l’occasion en interceptant des correspondances de l’HADOPI avec les ayants droit. Nous y avons découvert les petites colères des ayants droit suite à la publication du rapport Znaty. Si vous n’avez pas compris pourquoi, veuillez relire attentivement la phrase en gras avec du jargon technique dedans un peu au dessus.
Cette histoire de petite fuite présentée comme étant issue de l’HADOPI a de quoi surprendre, je ne serai personnellement pas surpris qu’elle émane plutôt d’un maillon faible, au hasard de chez les ayants droit.

☠ Une seule offre légale : iTunes

Au détour d’une conversation, je suis retombé sur ce billet prémonitoire qui date de 2008. Presque 4 ans plus tard, le constat est pour le moins acide. Apple règne comme prévu en leader incontesté de la distribution. Les majors ne veulent toujours pas ouvrir leur catalogue ou le font via des deals exclusifs en demandant des tickets d’entrée surréalistes afin d’empêcher l’arrivée de tout nouvel entrant sur le marché. Non contents de se goinfrer de la sorte, les majors continuent à pratiquer des prix sidérants pour des supports matérialisées ou non, et poussent pour certaines les cynisme jusqu’à augmenter leurs tarifs quand un artiste de leur catalogue meure, en prévision de ventes accrues.

… Et comme prévu en 2008, Google, avec un peu de retard, arrive, lentement, mais surement… et avec une stratégie bien à lui.

Rien n’y fera, nous le savons, les majors sont bien en train de perdre la distribution. Comme je le prédisais en 2008, cette époque où les commerciaux d’Universal se pointaient dans des magasins physiques et imposaient des quantités pour une implantation, négociant les rachats des invendus à des prix bien en dessous du prix de vente à leur distributeur… est terminée. Sur du dématérialisé, pas d’invendus. Une marge en moins qu’HADOPI et toutes les études plus bidons les unes que les autres n’ont probablement jamais pris en compte.

☠ La colère d’Internet contre les ayants droit monte

Les ayants droit sont les premiers à fustiger l’HADOPI, alors que les dossiers de justice n’étaient pas transmis au parquet, ces derniers disaient avoir des moyens de se mettre à lutter contre le direct download aux côtés de TMG. Quid des procédés techniques ? Là encore on risque de bien rire. Mais là n’est pas le problème. Le problème, c’est qu’à l’époque du DADVSI, l’ancien dirigeant de la CNIL, Alex Turk, faisait passer un cavalier législatif autorisant, en prévision d’HADOPI, la privatisation d’un pouvoir judiciaire, déléguée à des charlots… TMG. Normal me direz vous car ce n’est certainement pas l’autorité judiciaire qui va s’amuser à traiter la traque des internautes qui partagent le dernier Lady Gaga alors que ces derniers, qui traquent quand même la pédo pornographie, les arnaques sur le Net, les intrusions (…) ont moins de budget que l’HADOPI ! Le paquet est donc mis sur les internautes partageurs, les criminels, eux peuvent dormir sur leurs deux oreilles.

La fermeture de Megaupload a une fois de plus soulevé Anonymous, signe d’un pourrissement de la situation qui commence, par effet ricochet, à avoir des conséquences importantes, qu’elles soient médiatiques ou qu’elles le soient moins. Aujourd’hui, c’est trop tard, HADOPI a bien échoué sur un point : internautes et ayants droit sont irréconciliables. En entrant dans sa phase de répression par les tribunaux il ne nous reste plus qu’à constater qu’HADOPI a échoué dans son rôle soit disant préventif, et c’est là son pire échec. Si les 35% de Nicolas Sarkozy tenaient une ombre de vérité, HADOPI n’aurait jamais eu besoin d’entrer dans cette phase et aurait continué à être ce qu’elle était jusque là, la machine à spams la plus chère du monde au profit d’une clique d’évadés fiscaux.

HADOPI n’est qu’une étape, vers la lente régulation orwellienne d’Internet, des entreprises françaises sont très dynamiques dans les technologies de surveillance de masse, mais manque de bol, leur activité n’est ici pas légale, ou difficilement. Vous découvrirez sur Reflets très prochainement la « malédiction Amesys » qui illustre très bien ce dernier propos… stay tuned.

N’oubliez jamais une chose : il suffit souvent de 5 gus dans un garage pour que….

20 Minutes n’a pas tout compris à HADOPI

@ManuDwarf a relevé une pépite dans l’édition papier de 20 Minutes. La brève est incompréhensible, car la bourde est de taille. Décryptons ensemble ce petit bout de désinformation. Voici ce que nous reporte le journal :

« La loi HADOPI ne frappe pas uniquement les Internautes privés. Elle concerne aussi les Fournisseurs d’accès (FAI), comme Free ou Numéricâcle, qui doivent mettre en place des procédures pour traquer le téléchargement illégal. Et la facture est salée : 2,5 millions d’euros, a dévoilé hier lexpress.fr »

20 Minutes à visiblement du mal à assimiler que ce ne sont pas les FAI qui traquent les Internautes, mais les ayants droit, via une petite bande de grands comiques basés à Nantes, TMG.

Les fournisseurs d’accès Internet, on ne leur demande qu’une chose, c’est de mettre un nom sur un numéro (une adresse IP). C’est le coût de cette identification dont on parle ici pour les 2,5 millions d’euros… un coût sur lequel Christine Albanel expliquait en son temps qu’il serait anecdotique.

L’anecdote à 2,5 millions d’euros pour financer une industrie de vautours capables de ça, je ne vais pas vous faire un dessin et je vais m’arrêter là avant de devenir grossier.

 

HADOPI : Pascal Nègre défend son bébé

pirate lolcat
Pirate Lolcat by icanhascheezburger.com

Pascal Nègre, PDG d’Universal Music France, en tournée d’auto-promotion pour son bouquin, donnait hier une interview à TF1.fr, aka je vire abusivement les salariés qui ne sont pas d’accord avec HADOPI. Ouais… vous sentez le coup venir là déjà… Pascal Nègre… TF1… faut pas s’attendre à un moment de journalisme aspirant au Pulizer. Et ça commence dés le titre, par une citation de Pascal Nègre « Grâce à Hadopi, le disque a arrêté de chuter« … HADOPI aurait donc un effet sur les ventes de disques ? C’est étrange ce que dit l’ami Pascal car c’est pourtant pas ce que semblent dire les chiffres selon Guillaume. Là, il y en a au moins un des deux qui ment effrontément, à votre avis c’est qui ?

Voyons les arguments de Guillaume développés sur Numerama, je cite :

« Selon l’Observatoire de la Musique, le chiffre d’affaires de l’industrie phonographique a encore plongé de 13,7 % au troisième trimestre. Depuis le début de l’année, les recettes dues aux ventes de CD et DVD musicaux ont baissé de 9,8 % à 507,2 millions d’euros, tandis que le marché numérique progresse de 25 %, mais à seulement 64,2 millions. La hausse relative du numérique, qui d’ailleurs ralentit au lieu de s’emballer, est encore loin de compenser la baisse des CD. »

Voilà pour les chiffres, vainqueur par KO : Guillaume

Je me suis fait violence, j’ai lu l’Interview de Pascal Nègre, je me doutais bien que j’y trouverais des perles… bingo !

Les révolutions de Pascal (Talkin’about a revolution ?) … to me ?

Pascal est une sorte de lolcat à sept vies, dans l’Industrie du Disque il a vécu pas moins de 4 révolutions qui auraient du le tuer… et il est toujours là.

Comment ceci est-il possible ?

« Lorsque j’ai commencé mon métier, le disque vivait quatre révolutions : l’arrivée du CD, les radios libres, la publicité télé, et la baisse de la TVA. Aujourd’hui, avec les supports dématérialisés et  le buzz internet pour parler de nos artistes, je vis de nouveau une révolution. La différence, c’est qu’à l’époque il n’y avait pas de piraterie. »

Pascal découvre la piraterie avec Internet, mais où était il donc ces 15 dernières années ?

Allez on va mettre les fessées dans l’ordre et rafraîchir la mémoire de Pascal :

1° On commence par les radios libres, je vais me la faire méthodique, ça va être rapide, je regarde ce que raconte Wikipedia sur les radios libres…  et je tombe sur quoi en première phrase ?

« Une radio libre, initialement synonyme de celui de radio pirate, »

… Headshot !

2° On continue avec la seconde révolution du lolcat Pascal : l’arrivée du CD. J’étais certes très jeune, mais je l’ai connu, allez, séquence émotions, souvenez vous des actions intentées contre Philips et Sony par l’industrie du disque, ces CD et ces graveurs qui permettaient de copier à l’identique un support numérique… de pirater tout votre merveilleux catalogue. Le « CD c’est la mort de la musique » claironnait votre industrie qui s’éveillait à la duplication numérique.

3° La troisième révolution de Pascal, c’est la pub à la TV… chacun ses références culturelles, pour moi, la révolution ce serait sa suppression. Mais la TV et les magnétoscopes pour enregistrer Dimanche Martin, ça aussi ça a failli tuer la culture, souvenez-vous Pascal :

Reportage Piratage INA

4° La Quatrième et dernière révolution de Pascal c’est la TVA à 5,5% sur le disque qui est la seule révolution n’ayant pas connu les « pirates ».

5° C’est aussi une révolution, une vraie révolution, qui profite à tout le monde et non pas à l’Industrie du Disque… c’est Internet, mais cette révolution là, ce n’est pas la vôtre Pascal.

La complainte de Pascal (blues en La mineur pour énormités majeures)

« Le problème, c’est que lorsque l’industrie du disque a expliqué que tout n’était pas génial dans Internet, on nous a traités d’hommes préhistoriques ! »

À titre personnel je vous qualifierais plutôt de rapaces et de pleurnichards perfusés aux brouzoufs du contribuable. Pire encore, vous êtes prêts à sacrifier les libertés de tout un peuple si les technologies de reconnaissance de contenus (oui, je parle bien de DPI), peuvent vous donner l’illusion de sauver votre industrie. Au final, nous savons tous que ce sont vos salaires que vous sauvez, pas les artistes et encore moins la création. Pour cette offensive sur les libertés, j’ajouterais donc le qualificatif de terroriste (un prêté pour un rendu).

« Plutôt que des brontosaures, on a peut-être été des pionniers. »

Les pionniers sont des gens qui créent, qui évoluent et qui impulsent une dynamique du vivre mieux. Votre industrie de copie de galettes en plastique, là, elle meurt Pascal. Les pionniers sont des bâtisseurs, des explorateurs… bref tout le contraire de votre industrie qui est restée scotchée sur ses belles années 80.

« La manière dont on s’est adapté pourrait inspirer d’autres industries. »

LOL ! Elle est bien bonne celle ci ! si les autres industries s’inspiraient de celles du Disque, on aurait des « cartes voitures jeunes », des « cartes boucherie jeunes » , des « cartes électroménager jeunes »… le tout aux frais du contribuable qui devrait s’acquitter de 50% de la facture… exemplaire cette industrie du disque ! Si on poursuit même l’exemple de l’industrie du disque jusqu’au bout, on aurait d’ailleurs pas une « carte voiture jeunes » mais une « carte calèche jeunes ».

Deezer de midi à quatorze heures

« Pardon ? Deezer  a eu accès à tous nos catalogues !  C’est d’ailleurs ainsi qu’ils sont passés de rien du tout à une marque connue. »

Plus la peine de chercher l’offre légale de midi à 14h, grâce à la sympathique Industrie du Disque, nous avons en France une offre légale de qualité : Deezer, iTune, Deezer, iTune, Deezer… c’est une belle réussite, merci Universal ! Et quand on vous parle de Jiwa ? Ah c’est vrai, vous causez pas aux pauvres dans votre milieu :

« Jiwa a déposé le bilan en disant qu’on demandait des droits impossibles mais il ne faisait pas 25.000 euros de chiffre d’affaires par mois. Ils n’ont jamais payé un catalogue ! Avant de payer les droits, ils n’arrivaient même pas à payer leurs salariés. »

Salauds de pauvre !

« En France, on a tout de même une richesse d’offres et de plateformes démente. Aux Etats-Unis et en Allemagne, il n’y a qu’iTunes alors qu’Apple ne représente que 40% du marché français.« 

C’est un point intéressant, j’ai pu observer, à la sortie de la carte musique jeunes, que vous n’êtes toujours pas fichus de proposer un catalogue unifié sur une seule plateforme. Bilan, il faut plusieurs cartes si vos goûts sont trop éclectiques. Bravo, là encore il y a de quoi pavoiser, ça fait 15 ans que vous n’êtes pas fichu de proposer un catalogue unifié.

(…) un ange passe

Et on arrive enfin au plat de résistance, les bébés de Pascal :

Le DADVSI qui selon lui protège son Industrie. Dans les faits, les DRM n’ont fait qu’accélérer la chute des ventes de CD puisqu’il devenait impossible de lire les CD légalement achetés sur son ordinateur ou sur son autoradio. D’ailleurs le succès est tellement énorme que l’industrie a du abandonner les DRM et que les parlementaires continuent à se cacher derrière leur petit doigt quand on leur demande le rapport d’impact de cette ânerie. Mais pas de doute pour Pascal, le DADVSI, ça vous a vachement protégé :

« A l’époque, la loi DADVSI (NDLR : Droit d’auteur et droits voisins dans la société de l’information) a mis quatre ans à adopter une directive européenne qui nous protégeait enfin…« 

Pour HADOPI, je ne reviens pas sur le chiffre, on a vu que Guillaume de Numerama était vainqueur par KO, on va donc éviter de frapper un homme à terre. On va juste s’amuser un peu de la crédulité de Pascal Nègre qui pense peut être que le contribuable est prêt à sponsoriser 50 000 identifications d’IP par jour pour ses beaux yeux. Pascal Nègre concluera sur l’Epic Success de la carte Musique Jeune :

« Et cela redonne de la valeur à la musique…. »

Soit Pascal, mais pour moi votre carte machin, c’est une prime à la casse pour tenter de doper artificiellement des ventes qui plongent irrémédiablement… votre métier change Pascal, ce n’est pas sale.

HADOPI : réponse sommaire à la problématique de la labellisation des moyens de sécurisation

securitéJe me permet de publier les quelques observations que j’ai fait à l’HADOPI concernant les spécifications des dispositifs de filtrage, c’est assez sommaire car chaque point mériterait à lui seul que l’on s’y appesantisse bien plus. Les voici livrés de manière brute.

AVERTISSEMENT : les spécifications des moyens de sécurisation de la HADOPI peuvent profondément évoluer, il est donc nécessaire que les personnes concernées se manifestent et enrichissent ces spécifications avec des remarques ou fassent part de leurs inquiétudes sur divers points. En tout cas je vous encourage à le faire, ce n’est pas du temps perdu. La loi est là, il faut maintenant l’appliquer, à nous de faire en sorte que ce soit avec le moins de casse possible.

Le problème des réseaux sans fil publics

  • Les abonnés SFR utilisent souvent la connexion de leur voisin à leur insu (connectivité en roaming même depuis leur domicile). Il me semble important de demander à cet opérateur (comme à Free avec son service FreeWifi, même si ce dernier attribue une adresse ip différente de celle de la box à laquelle le freenaute est connecté) des chiffres sur cette pratique.
  • Ces réseaux publics avec portail captif sont très souvent vulnérables à un bypass d’authentification par encapsulation tcp over DNS.
  • Les réseaux publics déployés dans des lieux publics sont aussi souvent (même très souvent) mal configurés, un scan du lan une fois connecté au portail captif permet aisément de trouver l’ip de l’AP, ses ports ouverts, et donc l’interface d’administration. pour l’interface HTTP le mot de passe est souvent bien modifié, ce qui est très rarement le cas de l’accès console via ssh à ce même AP.
  • Toujours pour ces réseaux publics, les firmwares sont très rarement à jour, et donc exploitables.

Filtrage sur les protocoles (En fonction de la taille, des formats, débits, profils utilisateurs , débits, volumes et plages horaires).

Appliquer une politique de sécurité en fonction de ces critères est hasardeux, le risque de surblocage est très important. Le filtrage sur un protocole n’est pas acceptable en soi, c’est une discrimination par défaut, pas plus que ne l’est une approche statistique, même si l’on sait qu’à la sortie des écoles, un fichier de 700 mégas avec une extension .avi a 90% de chances d’être un fichier contrefait.
L’usage d’un protocole P2P pour des raisons légitimes ne peut pas être entravé, même par un simple avertissement. Dans le cadre de la cellule familiale, si un enfant utilise un protocole de P2P pour une raison légitime et que ses parents n’ont ne serait-ce qu’un avertissement, il partiront du principe que le P2P est une technologie problématique et donc proscrite.

L’analyse des configurations des postes clients (logiciels installés) risque d’être un gros frein, à moins que les journaux produits ne puissent être exploités que par l’utilisateur. De trop nombreux utilisateurs de Windows utilisent des logiciels crackés et vont prendre peur que cet outil agisse comme un mouchard.

Outils de journalisation

  • le principe du double archivage des journaux me semble acceptable, je n’ai aucun problème avec ça.
  • j’ajouterai la journalisation des adresses mac des clients du lan, qui même falsifiables sur le poste client, peuvent être corrélées avec les durées de session et donc être utiles pour disculper une personne victime d’une intrusion sur son réseau sans fil. Cependant, il est à noter que des box comme certaines anciennes Livebox proposent par défaut une fonctionnalité obligeant les postes clients à déclarer les mac adress pour pouvoir se connecter au WLAN (ces box sont livrées avec du WEP activé par défaut). Le résultat, c’est que l’intru, à l’aide d’un outil de sniffing wireless comme aircrack, peut repérer les mac adress connectées à la box (et donc autorisées) visionner le volume de trafic entre le point d’accès et le client, et donc usurper la mac d’un client autorisé (mac spoofing).
  • le contrôle de l’utilisateur sur les données de journalisation chiffrées est un bon point, l’utilisateur doit pouvoir demander ponctuellement le déchiffrement de son journal et s’assurer que la version non chiffrée n’a pas été altérée par un simple diff.

L’anonymisation des journaux envoyés pour déchiffrement des données collectées est très importante.

La sécurité est indissociable de la notion de confiance, et je ne vois pas comment l’HADOPI dont la mission initiale est de faire diminuer l’échange de fichiers contrefaits peut être un tiers de confiance acceptable par les utilisateurs. Même anonymisée, cette fonctionnalité sera en toute logique boudée des utilisateurs.

Concernant le stockage de données issues des contrôles des flux réseaux sur le LAN de l’utilisateur, en ce qui me concerne je refuserai catégoriquement qu’une machine connectée à mon réseau local aille scanner d’autres machines de mon LAN, même si ces informations restent sur le poste clients, il serait par exemple mal venu de compromettre une machine de mon LAN sous OpenBSD ou Linux parce qu’un logiciel sous Windows a décidé de stocker des informations sur mon LAN. Je n’accorde aucune confiance à ces moyens de sécurisation  sur une machine cliente.
La problématique des ordinateurs portables se connectant sur mon LAN (amis, famille) qui stockeraient des informations sur mon réseau domestique me fait froid dans le dos. Si un tel dispositif est labellisé, j’interdirai purement et simplement la connexion de tiers sur mon réseau de peur qu’un défaut de mise à jour ou une faille ne vienne compromettre une partie de mon LAN. Au mieux je demanderai la désinstallation complète du dispositif de sécurisation à un tiers pour le laisser se connecter à mon LAN. Qu’on le veuille ou non, cette fonctionnalité est assimilable à un mouchard, elle est donc à proscrire.

Systèmes d’exploitation libres et moyens de sécurisation

Les systèmes d’exploitation libres disposent déjà d’outils performants de sécurisation (de la vraie sécurisation qui lutte contre des accès frauduleux et qui ne condamne pas un usage). Les Unix libres disposent par défaut de Packet Filter et GNU/Linux de Netfilter/Iptable. Ces outils correctement configurés sont suffisants pour assurer un niveau de sécurité satisfaisant, tout dispositif supplémentaire est non seulement inutile et aucun crédit ne saurait leur être accordé. Tout labellisé qu’il soit, un tel dispositif a par exemple fort peu de chance d’apparaître dans les packages d’OpenBSD.
Même si ces solutions existent, elles ne seront jamais intégrées dans des distributions car ni leur fondement légal, ni leur philosophie, sont compatibles avec les logiciels libres.

Le principe des listes et solutions de contrôle parental


De ce point de vue, je n’ai aucun problème, à la seule condition que la configuration par défaut du dispositif fasse apparaître clairement les sites filtrés et qu’aucun site ne soit filtré à l’insu de l’utilisateur. Attention, ceci exclu de fait certaines solutions. Ces listes doivent être lisibles et éditables par l’utilisateur. Aucun site ne doit être placé dans une liste noire à l’insu de l’utilisateur.
Le principe des listes peut convenir mais il est par exemple hors de question qu’une société tierce, comme OPTENET, qui semble avoir des liens affirmés avec les milieux intégristes catholiques et qui a déjà montré en Australie son zèle à filtrer secrètement des sites parfaitement légaux, devienne le garant de ma morale ou de celle de mes enfants. cf : http://bit.ly/be4M7f
« Ces listes (centaines de milliers d’éléments, en général) sont définies et mises à jour par diverses organisations ou groupes d’ordre éthique. » : permettez moi d’en douter, OPTENET équipe aujourd’hui l’éducation nationale et n’est pas un tiers de confiance fiable à mes yeux.

Les problèmes de normalisation au niveau européen


Cette digression sur Optenet me fait sérieusement réfléchir sur une éventuelle compatibilité (et sur le papier elle se doit de l’être) avec les dispositifs européens de filtrage normés (ils devraient l’être au début de l’année 2011). Il va de soi que non seulement je vais m’opposer haut et fort à ce que la France se base, contre les avis de l’AFNOR, sur une norme européenne dont on sait qu’elle a été tronquée par des intérêts privés et qu’elle présente un caractère prêtant à une grande suspicion.
A la veille du vote de l’article 4 de la Loppsi, si nous avons le moindre soupçon de mise en place d’outils un peu trop « polyvalents », nous nous y opposerons fermement et avec les arguments idoines.

Protection antivirale


« Un antivirus car l’application devra se protéger contre les différentes attaques qui ne manqueront pas de surgir contre elle-même. Elle devra détecter des logiciels de contournement, etc. »
Cette définition fonctionnelle me semble erronée.
Il existe déjà des éditeurs proposant des solutions antivirales, je ne comprends pas ce que ceci vient faire dans un dispositif labellisé par la HADOPI. Par définition l’usage d’un antivirus est nécessaire quand c’est trop tard.
Enfin ajouter un antivirus a des solutions antivirales existantes alourdira la charge dédiée à la sécurité de manière inutile en diminuant sensiblement les performances des machines des utilisateurs.

Le coeur du problème : l’analyse dynamique de flux


« Le but de ce module est d’inspecter dynamiquement le contenu entrant et sortant du trafic sur les interfaces du réseau de la machine de l’utilisateur. »
Cette fonctionnalité est dangereuse et ne produira que pour seul effet d’amputer les internautes d’une partie d’Internet.

  • Quid des logs produits ?
  • Quid des protocoles exotiques ou nouveaux non répertoriés par l’éditeur ?
  • Quid du comportement de cette fonctionnalité sur les outils d’anonymisation de trafic (TOR/Freenet) ?

« En cas de découverte d’une configuration atypique, une notification de bas niveau est générée.  »
Là encore c’est très discutable, quid de la défense d’un internaute pour justifier une configuration atypique nécessitée par un usage légal, quid de sa valeur au moment de défendre sa bonne foi ? On s’oriente vers des écueils juridiques où les utilisateurs ont tout à perdre : cette fonctionnalité doit impérativement être indépendamment désactivable

Des mesures de sécurité qui n’en sont pas

Page 24 : « (pas de sécurisation WPA, SSID en clair, routeur avec aucun contrôle sur les adresses MAC des appareils se connectant à lui, etc.) ».

  • Un SSID en clair n’est pas une vulnérabilité (même masqué, un SSID est détectable, ainsi que le BSSID, par de simples outils d’analyse de réseaux sans fil)
  • Un dispositif de contrôle des adresses mac n’est pas non plus un dispositif de sécurité sérieux (il est contournable en 5 secondes).

Leur absense n’ont donc pas à générer d’alerte. Il est même dangereux de définir ces mesures comme des mesures de sécurité car ceci sème le trouble chez certains utilisateurs qui se pensent sécurisés sous prétexte que leur SSID est invisible.

Un point intéressant qui a le mérite d’expliquer clairement les intentions du dispositif

Page 24 : « L’application doit aussi conseiller et guider l’usager pour les divers appareils qui ne sont pas des ordinateurs (lecteur DVD, Boitier multimédia, etc.) mais qui sont susceptibles de posséder des fonctions de téléchargement avec une problématique de contrefaçon. »
Ces dispositifs tendent donc explicitement à limiter les usages de matériels possédant des fonctionnalités de téléchargement. Comme ça c’est clair, l’idée est de « sécuriser contre le téléchargement », mais pas de sécuriser les données personnelles de l’utilisateur. Cette phrase a elle seule discrédite l’ensemble de la démarche, on est plus dans la sécurisation, on est bien dans le registre de la surveillance.

Un point de détail assez amusant

Un peu plus loin (P.27), la solution propose même de « bloquer toutes les connexions ; » … là, vous avez intérêt à avoir une hotline assez sérieuse et ça promet de grands moments…

Contournement du dispositif et contre mesures

La sécurisation des moyens de sécurisation est illusoire, l’histoire nous montre que _tous_ ces dispositifs ont été compromis au moins une fois. L’exploitation à grande échelle est restreinte par la diversité. Si un mécanisme labellisé et donc présent dans toutes les solutions est faillible, le risque d’une exploitation à grande échelle est inéluctable. Un moyen de sécurisation ne saurait réussir à comprendre ce qu’il se passe dans une machine virtuelle, seules des traces « réseau » pourraient apparaître dans les journaux. Si elles sont chiffrées, seul un mécanisme de signature de trafic pourrait permettre de repérer une tentative de contournement et cette perspective est inquiétante et sa pratique généralisée n’est pas souhaitable. Toute approche de reconnaissance de contenus, ne saurait se faire que sur un fondement légal valable et motivé par des faits graves. Par delà les problématiques de priorétarisation de trafic légitime, elle posera à terme des problèmes car il est tentant d’utiliser cette technique pour des causes non légitimes. Nettoyer Internet de contenus copyrightés n’est à mon sens pas une cause légitime et constituerait un détournement non souhaitable de cette technologie.
Je m’inquiète de voir apparaître un dispositif supplémentaire sur les réseaux mobiles, même si ce n’est pas ce qui est clairement expliqué dans le document (page 8). Les réseaux mobiles sont déjà assez filtrés (usage manifeste du DPI) pour que l’on ajoute une couche supplémentaire de filtrage.

En conclusion

Je persiste et signe, l’HADOPI est illégitime dans cette mission, l’intitulé « moyens de sécurisation » est séduisant mais il est trompeur quant aux objectifs. C’est le droit d’auteur qu’on protège en condamnant des usages et non les internautes.
Le risque de voir ces solutions labellisées HADOPI répondre aux normes européennes en font un outil rêvé de contrôle moral et politique basé sur la peur du gendarme, effet renforcé par le délit de négligence caractérisée. Si sur la forme certains points de ce document semblent techniquement corrects, le fond et les motivations de la démarche l’invalident à mes yeux totalement.
Même labellisés, ces moyens de sécurisation n’auront donc pas droit de citer chez moi et je déconseillerai vivement leur installation.

HADOPI : La riposte graduée est morte comme le Disco

discoIl en aura fallu du temps pour faire comprendre à certains ne serait-ce que 10% de la bêtise du mécanisme de riposte graduée… Mais apparemment, ça commence, petit à petit, à rentrer. Si certains députés de la majorité (en plus de ceux de l’opposition) s’étaient déjà clairement opposés à la riposte graduée, soulignant le caractère liberticide et injuste, l’infaisabilité technique et le gouffre financier qu’allait représenter son application, on gardera à l’esprit que le texte est passé comme une lettre à la Poste, ce après une censure au Conseil Constitutionnel. L’avertissement du  Conseil des Sages n’avait pas été jugé suffisant… quelle monumentale erreur.

Aujourd’hui, la riposte graduée semble avoir du plomb dans l’aile

Commençons par la député Marland-Militello qui quelques semaines après avoir demandé à ce que 2 millions de plus soient accordés à la HADOPI dans la loi de finance 2011,  veut maintenant mettre l’accent sur le volet préventif, à savoir l’offre légale… ça, c’est nouveau, et passé le style stalinien qui caractérise sa prose, toujours à la gloire du chef, la député Marland-Militello appelle maintenant à un gèle de la riposte graduée à l’étape 1 tant que l’offre légale est insatisfaisante, ce qui nous fait, comme nous l’avions prévu dés le début… 12 millions pour une machine à spam, la classe !

Ce dont la député Marland-Militello ne semble pas prendre la mesure, c’est que cette offre légale, tant que les majors n’auront pas remis leur stratégie en question… elle n’est pas prête de voir le jour… et donc l’HADOPI n’est pas prête de passer à l’étape 2, le courrier recommandé.

La « révolution culturelle et éthique » dont parle la député Marland-Militello dans son dernier billet est donc bien en marche… mais à reculons.

Du consensus à « l’auto désaccord de l’Elysée avec lui même »

Plus sérieusement maintenant, le Nouvel Obs et 20 Minutes rapportent que selon le député Tardy, Nicolas Sarkozy lui même aurait évolué sur les questions numériques. La scène s’est jouée à huis-clos devant des députés de la majorité, le chef de l’Etat aurait exprimé des doutes sur le cap de sa politique numérique. Sans jamais la nommer, Nicolas Sarkozy semblait implicitement faire référence à l’HADOPI, identifiant un nouvel ennemi, cette fois ci clairement désigné, à savoir Google.

«Nicolas Sarkozy a parlé d’Hadopi sans la nommer, mais pour une fois ce n’était pas pour la vanter, mais pour dire que le texte avait été difficile à adopter et qu’il y aurait pas mal de choses à revoir sur le numérique» rapporte le député. Et d’ajouter : «J’ai l’impression qu’il y a une vraie prise de conscience du chef de l’Etat sur le numérique, qu’il est en train de se dire que c’est un vrai sujet et qu’il va falloir l’aborder autrement que par le seul côté répressif (… ) Peut-être qu’il se rend compte que ce n’est pas à l’échelle de la France que ça se joue. Ce serait intéressant qu’il en fasse une question internationale ».

Ce mea culpa Élyséeen, c’est bien… mais c’est trop tard

Tout ce temps perdu pour en arriver à la conclusion que nous venons de perdre encore 3 ans. Pendant ce temps, Google, lui, a préparé sa riposte non graduée à l’industrie du disque, et ça va faire mal… très mal. La taxe Google revient donc sur la table. Taxer les services en ligne est une idée assez étrange, une sorte de cyber protectionnisme alors que notre industrie culturelle n’a absolument rien à y opposer… pourquoi pas, mais permettez moi de douter. Usuellement, quand on prend des mesures protectionnistes, c’est qu’on a une offre équivalente à mettre en avant… nous on a tellement même pas de quoi faire illusion, que c’est encore le contribuable qui s’y colle.

Aujourd’hui, je dois vous avouer que j’ai les yeux rivés sur la « majorette » EMI que l’on sait assez mal en point. EMI intéresserait fortement Warner Music. Si Warner parvenait à se porter acquéreur d’EMI, il ne resterait donc plus que 3 majors pour se partager le gros du catalogue mondial. Warner  offrirait 750 millions de dollars à Terra Firma Capital Partners, principal actionnaire d’EMI et le plus gros créancier de la majorette, Citigroup, pousserait également Terra Firma Capitals Partners à céder ses parts. Il ne resterait donc plus, si ce rachat venait à se concrétiser, que Sony (qui avait déjà croqué BMG), Universal Music (Vivendi), et Warner Music Group dont le titre boursier a pris presque 7% depuis le jour de la propagation de la rumeur… Et ça pour l’industrie du disque, c’est dans le meilleur des cas…

Devinez ce qui arriverait si Apple, qui détient déjà la plateforme de distribution (iTune), ou Google qui a des vues manifestes sur les contenus musicaux, se décidaient à faire une offre pour croquer EMI. Ceci sonnerait tout simplement le glas de l’industrie du disque « à la papa » à laquelle l’ami Pascal tente de se raccrocher comme il le peut.

Le combat n’est cependant pas terminé

Maintenant que la conséquence semble vouée à une petite mort, il va falloir se débarrasser de la cause. Le délit que sanctionne la riposte graduée est bien pire que la riposte graduée elle même, la contravention pour négligence caractérisée DOIT être purement et simplement supprimée du texte de loi. Le défaut de sécurisation de l’accès Internet reste d’une bêtise sans nom et fait planer le spectre d’une sanction sur les plus vulnérables. Ce n’est pas acceptable et nous ne l’accepterons pas.

La rémunération des créateurs est toujours la grande oubliée

HADOPI n’a trompé personne, les auteurs n’ont jamais eu à y gagner quoi que ce soit, et ça commence aussi à se voir. D’ailleurs, ça se voit tellement que le législateur veut maintenant taxer de manière outrancière les gros bénéfices d’une industrie qu’HADOPI était sensée sauver d’une mort certaine… du grand n’importe quoi. Taxer les bénéfice d’une industrie en crise ? Vous le voyez mieux l’impact du piratage sur cette industrie maintenant ?

Et pendant ce temps, les créateurs, eux, sont toujours victimes de l’opacité de la redistribution de la taxe sur la copie privée et victimes des conditions financières des majors qui ont surtout profité du virage numérique pour manger encore plus de marge sur les oeuvres vendues une fois dématérialisées.

Tout ça pour ça…

/-)