Malgré mon discours souvent radical concernant les questions qui touchent à HADOPI et plus globalement aux atteintes à la Net Neutrality, je n’ai jamais douté qu’il y avait quelques personnes sensées dans 
l’hémicycle. Il y a bien évidemment nos valeureux mousquetaires. Du côté de l’UMP (et affiliés), les députés Tardy et Dupont Aignan n’ont pas été avares d’efforts pour faire entendre raison au Ministère de la Culture dans son délire Orwellien aussi juridiquement incohérent que techniquement absurde, masquant mal l’incompétence des uns ou la cupidité des autres.
Petite bouffée d’oxygène, le député UMP François Loos vient de sommer le Ministère de la Culture de donner des explications sur le délit de négligence caractérisée.
« A ce jour, constate le député, les installateurs de réseaux informatiques sont bien en peine de conseiller leurs clients, ne sachant pas quels sont les éléments constitutifs de cette infraction. Pour l’instant, et tant que les décrets d’application ne seront pas publiés, les pratiques antérieures peuvent encore avoir cours. Mais dès la publication de ces décrets, un certain nombre d’installations ne seront plus conformes à la loi, alors que très récentes. Dans ces conditions, non seulement l’installateur ne peut pas remplir son obligation légale de conseil dans la vente, mais en plus, le client va payer de grosses sommes pour une installation obsolète d’un moment à l’autre« .
« Ne pensez-vous pas qu’il serait souhaitable de clarifier au plus vite cette situation, qui embarrasse tout le monde ? »
.. s’interroge le député…. et il n’est pas le seul, si vous me lisez de temps à autres vous savez à quel point je peste contre ce « délit de négligence caractérisée », pas en tant que particulier (je n’utilise pas M$ LèpreOs et j’estime disposer des connaissances suffisantes pour me protéger convenablement … enfin jusqu’au jour ou mon ip fixe aura été générée aléatoirement et balancée dans un tracker torrent), mais bien pour un usage professionnel. Et là, évidemment, les questions du député Loos matchent parfaitement avec mes inquiétudes … QUI VA PAYER ?
Numerama insiste également à juste titre sur le devenir du P2P, le mouchard de la Milice du Net logiciel agréé de l’HADOPI disponible uniquement sur M$ LèpreOS® en ses versions XP®, VISTA® ou « Séveune »® devra t-il filtrer le P2P… tout le P2P et rien que le P2P … « dites je le jure » ? … et même le P2P pour télécharger des fichiers légaux ?
Un élément de réponse avait été donné pendant les débats, et clairement, pour que ceci se fasse convenablement, il n’y a pas 36 solutions … devinez quoi ? … gagné !! elles ne sont pas fiables, mais alors pas fiables du tout !
Voici comment comment pourrait fonctionner le mouchard … si si vous allez voir c’est bien un mouchard 😉
Une base de données fichiers musicaux ou vidéos contenant ce qu’on appelle des hashing (appelons ça une empreinte numérique pour simplifier) sera stockée de manière chiffrée sur un serveur (on va chiffrer un truc chiffré, c’est la classe), appelons le au piff « http://milice.extelia.com ».
Notre serveur http://milice.extelia.com communique en permanence avec le mouchard installé sur ton M$ LèpreOS. Le mouchard agit comme une sorte de scanner de hashing sur ton disque dur, si par malheur, il détecte un hashing qui correspond à celui d’un des hashing stockés sur ‘http://milice.extelia.com’, ce dernier fait son travail, il moucharde ! Du coup, un petit cron (une tâche automatisée) dit à smtp.extelia.com (le serveur de mail), d’envoyer un petit mail d’avertissement au propriétaire du mouchard… c’est beau la technologie non ? Sauf que …
Méééheuuu SAYPAMOA!!
Ah ben oui, je t’ai pas dit ? Le mouchard, c’est pas le Firewall OpenOffice de Christine ! Sa fonction n’est pas de protéger ton LèpreOS et encore moins de le patcher avec les mises à jour qui vont bien… Imagine que ta machine soit infectée par un cheval de Troie, chose qui n’arrive jamais parrait-il tellement LèpreOS est fiable … y’a à peine 4 millions de réponses dans Google… et que depuis ce cheval de Troie, un Jean-Kevin s’amuse à downloader allègrement depuis ta machine via un client console BitTorrent (me regardez pas comme çà, je ne sais même pas si ça existe pour LèpreOS) Il établit ensuite un tunnel entre ta machine et la sienne, mais ce tunnel est évidemment chiffré et bien caché, pas de bol. Le hashing est bien détecté, le fichier piraté était bien sur ton disque dur, le mouchard a mouchardé … et toi … et toi tu es le dindon de la farce. Il va maintenant falloir prouver ton innocence.
Pour celà, tu as deux alternatives :
- Devenir un cador de la sécurité, un virtuose de la base de registre et partir à la recherche de la bébête qui a infecté ta machine. Il va aussi te falloir devenir un Uber Crypto Cracker pour casser le chiffrement du tunnel de Jean-Kevin… bref, tu vas vraiment « leverager ton crypto skill ». Ca te coûtera un peu de pognon quand même, il faudra que tu loues toute l’infrastructure cloudifiée d’Amazon pendant quelques jours, quelques semaines ou quelques mois … en fonction du chiffrement utilisé par Jean-Kevin … des broutilles, quelques centaines de millions de dollars devraient faire l’affaire.
- Te payer une société d’experts en espérant qu’elle arrive à mettre en évidence les failles et les trojans dont jean-Kevin s’est servit pour télécharger son p0rn et ses warez. Et crois moi, ce type de prestation, ça coûte bonbon !
Comment ça c’est à toi de prouver ton innocence ?
Ah je t’avais pas dit non plus ? Avec HADOPI, tu es présumé coupable, il est bien connu qu’une adresse IP est une preuve super fiable … c’est du lourd une IP ! … et ça suffit à ce que tu ais à te défendre d’une accusation … et ouai ! Tu es présumé coupable ! Et de toutes façons, même si c’est pas toi, le législateur a tout prévu .. tu viens de découvrir le délit négligence caractérisée !
Monsieur le Ministre la balle est dans votre camp
Le député Loos a posé des questions très précises au Ministre de la Culture et je vous promets une belle tranche de rigolade quand on va lire ses réponses … et en l’absence de réponses précises, HADOPI, pour ce qui constitue le délit de négligence caractérisée, sera tout bonnement inapplicable. Je trépigne d’impatience, en fantasmant sur le second Volume des Cours de Sécurité informatique pour les nuls que la rue de Valois nous prépare. Et si vous avez raté le volume 1 … le voici.
J’ajouterai aux questions du député Loos les questions suivantes :
- Est ce qu’oublier une mise à jour de LèpreOS constitue une négligence caractérisée ?
- Est-ce qu’un 0day constitue une négligence caractérisée… pour celui qui la subit ou pour l’éditeur du logiciel ?
- Est-ce que ne pas faire la différence entre TKIP et CCMP constitue une négligence caractérisée ?
- Est-ce que ne pas avoir LèpreOS et lui préférer OpenBSD sur lequel le mouchard ne veut pas s’installer quand on lance un $ cd /usr/ports/security/mouchard && make install clean … constitue une négligence caractérisée ? Et oui souvenez-vous l’ami Franck Riester disait que l’interopérabilté ça ne servait à rien et que le mouchard serait payant … loul.
Monsieur le Ministre, méditez bien votre réponse, prenez votre temps, nous sommes tous fort curieux de connaître la manière dont HADOPI va aborder le laxisme des éditeurs logiciels qui mettent parfois jusqu’à 7 ans pour corriger des failles critiques !
Monsieur le député Loos, encore merci, je sens que vous allez nous la faire aimer cette négligence caractérisée.