HADOPI : vers la fin d’une absurde prohibition culturelle ?

prohibitionJe vous annonçais ce matin que quelque chose d’énorme était en train de se préparer rue du Texel… et effectivement, la surprise est de taille. Comme je vous l’expliquais tout à l’heure, l’HADOPI marque une volonté de sortir de la riposte graduée contre laquelle nous luttons depuis plus de 4 ans. Mais contrairement à ce que l’on peut déjà lire dans certains articles, il ne s’agit pas d’une licence globale : ce ne sont pas les utilisateurs qui financeraient directement par une contribution ce système, mais les acteurs qui en tirent un profit financier. L’HADOPI envisage ce que nous n’osions nous même pas imaginer après tout ce temps à avoir l’impression de lutter contre des moulins à vent : une reconnaissance, formelle, des échanges non marchands, s’appuyant sur un système de rétribution des auteurs, financé par les diffuseurs faisant commerce (direct ou indirect) de la diffusion d’œuvres de l’esprit dématérialisées.

Pour ceux à qui ces mots font mal au crâne, je vais vous la faire plus simple :

Si ce projet est mené à bien, nous pourrions enfin échanger en peer to peer sans qu’une bande de guignols ne tente de flasher notre adresse IP pour la transmettre à l’HADOPI… fini la police privée du P2P, fini les spams qui vous demandent de « sécuriser votre connexion » sans vous expliquer comment, fini le risque d’amende, fini le risque de se retrouver devant un juge, fini les coupures de connexion, et surtout… fini le délit de contrefaçon totalement crétin lorsque l’on télécharge un film ou un MP3.

Ça, c’est ce que la majorité d’entre nous appréciera, c’est déjà en soi une première mondiale. Mais il faut pousser la réflexion un peu plus loin pour comprendre jusqu’où va cette proposition de reconnaissance des échanges non marchands. L’HADOPI dit étudier la faisabilité de cette reconnaissance des ces échanges en proposant une compensation financière aux ayants droit, payée par les entités qui tirent un profit direct ou indirect de la mise à disposition des œuvres.

Les implications dépassent même le stade de la diffusion des œuvres culturelles. Les effets de cette petite révolution si elle venait à se concrétiser, serait un moteur pour l’innovation dont de nombreuses PME ou TPE pourraient tirer profit. Même des plateformes aujourd’hui considérées comme illégales pourrait devenir parfaitement légales en contribuant à la rémunération des auteurs. L’innovation dans la diffusion des œuvres est principalement freinée par les coûts d’accès aux différents catalogues. Pire, impossible pour une société ne disposant pas de plusieurs millions d’euros d’accéder à tous les catalogues, et ainsi de proposer une « offre légale » digne de ce nom. La reconnaissance des échanges non marchands pourrait ainsi mettre un sacré coup de pied dans la fourmilière et les ayants droit n’auraient plus aucun intérêt à restreindre l’accès à leur catalogue puisque ce dernier s’échangerait d’une manière ou d’une autre, à eux de décider s’ils veulent tirer un profit des échanges au lieu de rien du tout… et ça, c’est la vraie révolution. Ceci pourrait donc au final directement profiter à des auteurs qui ont le malheur de faire partie du « mauvais catalogue », celui auquel s’agrippe un ayant droit le privant d’espoir de toute diffusion, et donc de toute rémunération.

Il y a quand même maintenant deux caps qui vont être compliqués à franchir :

Le premier est d’ordre légal. C’est là que nous verrons si le gouvernement entreprendra la sortie de la riposte graduée, ou si ce dernier, reniant ses promesses de campagne, décide de ne rien faire et donc, de rester dans une ère répressive absurde qui pénalise autant les internautes que les auteurs. Quand on fait rentrer quelque chose d’aussi débile que la riposte graduée dans le corpus législatif, il est forcément un peu compliqué de s’en débarrasser.

Le second est d’ordre technique puisqu’il touchera au modèle de rémunération et risque de s’opposer de manière assez frontale aux réticences des SPRD qui profitant de leur quasi monopole, ont su créer un véritable système mafieux épinglé à maintes reprises par la cours des comptes.

Bref, la bataille HADOPI n’est pas terminée, et ce n’est peut être pas le CSA qui la gagnera.

L’HADOPI ouvre la porte à la normalisation des échanges non marchands

lolcat-gets-bustedC’est une petite révolution. Après plus de 3 ans de choc frontal avec les Internautes la Haute Autorité ouvre (enfin) une porte à la reconnaissance des échanges non marchands (attention ça va seeder chérie). Dans un communiqué daté de ce jour, l’HADOPI « commence l’analyse de la possibilité, ou non, de modéliser un système de rémunération compensatoire des échanges non marchands« . Les mots ont leur sens. On parle bien ici de sortir du principe de la riposte graduée et _enfin_ d’envisager un système de rémunération des auteurs qui ne reposerait plus que sur le bon vouloir des SPRD en quasi monopole et des copyright nazis.

Il n’est pas ici question de licence globale mais bien d’aller chercher l’argent là où il se trouve, sur les plateformes de téléchargement qui tirent profit de la diffusion des œuvres, tout en permettant à des trackers torrent de « vrai partage » d’exister, et ce en toute légalité. L’HADOPI parle d’un cercle vertueux, et effectivement, on peut très bien imaginer à terme certaines « grosses » boards warez qui tirent profit de la diffusion d’œuvres (des revenus publicitaires), devenir légales, si elles acceptent de reverser une partie de leurs bénéfices aux auteurs.

Tout le travail porte maintenant sur le calcul de ces participations en fonction de paramètres qui restent probablement à définir, mais c’est tout de suite plus plausible et réaliste que les spécifications techniques d’un « contre logiciel » comme l’appelait Christine Albanel.

Oui c’est bien une petite révolution, un virage à 180° qui est en train de s’opérer… et peut être le début de la sortie des sombres années de cyber-prohibition culturelle que nous vivons. Légaliser les échanges non-marchand en faisant payer ceux qui font commerce des oeuvres.

Voici le communiqué complet que je vous invite à lire et à relire, à en débattre, car on peut penser ce que l’on veut de l’HADOPI, mais nous avons peut être sous les yeux le geste que beaucoup d’entre nous attendent depuis le début. Certes il ne faut pas se réjouir trop vite, certes, c’est loin d’être fait, mais si l’Autorité marque une volonté affichée de sortir de la riposte graduée pour enfin permettre la circulation des œuvres, c’est un pas de géant

Accès aux œuvres sur Internet : l’Hadopi engage l’analyse d’un système de rémunération proportionnelle du partage.
27/06/2013

Dans le cadre de ses travaux d’étude et de recherche, l’Hadopi commence l’analyse de la possibilité, ou non, de modéliser un système de rémunération compensatoire des échanges non marchands. Ce travail prospectif s’inscrit dans le cadre de la mission légale de l’institution d’identification et d’étude des modalités techniques permettant l’utilisation illicite des œuvres sur les réseaux et de propositions de solutions pour y remédier.

Selon l’approche retenue, un même usage est qualifié soit de « piratage en ligne », soit « d’échange non marchand ». Cet usage a été rendu possible par internet et les sites et services développés sur le réseau. Il est complexe, migrateur et résilient. La dernière enquête publiée par l’institution, « carnets de consommation », en donne une illustration riche d’enseignements.

Face à la permanence de cet usage, que l’Hadopi a pour mission de dissuader, il reste à apporter une réponse durable à la question de la création, de l’acquisition et du partage des œuvres sur internet. La possibilité, ou non, d’intégrer les « échanges non marchands » dans cette réponse est posée dans le rapport de la mission « Acte II de l’exception culturelle ».

En accord avec la Présidente de l’Hadopi, le Secrétaire général a présenté au Collège les orientations de cette analyse. Son objectif est d’évaluer la pertinence et la faisabilité d’une « rémunération proportionnelle du partage » emportant acceptation des échanges concernés.

L’expérience acquise par l’institution au cours des trois dernières années tendrait à laisser penser que l’intégration de ces usages pourrait être de nature à créer un cercle vertueux favorable tout à la fois à la création, aux usages, à l’innovation et à un meilleur partage de la valeur.

Cette intégration pourrait être envisagée sous la double condition d’une définition légale claire du statut des œuvres et des usages, et d’une compensation équitable et proportionnelle pour les titulaires des droits des œuvres échangées.

L’exception pour copie privée comme la rémunération équitable fournissent des modèles dont il semblerait possible de s’inspirer pour aller en ce sens, notamment en matière d’inscription dans le droit et de mode de répartition en gestion collective.

La piste de réflexion poursuivie s’appuie sur deux postulats : seule la consommation non marchande des œuvres protégées peut engendrer une compensation financière potentielle ; seules les entités tirant, par leurs activités, un gain marchand des échanges non marchands des œuvres protégées doivent participer à la compensation, à due proportion du volume, de la nature des activités, et du profit qui en est retiré.

Les travaux ont vocation à valider ou invalider la faisabilité d’un tel système et d’en évaluer la pertinence. Ils feront l’objet de consultations et de publications régulières et ouvertes.

Ils porteront pour l’essentiel sur la possibilité, ou non, de déterminer un profil d’usages, un profil d’intermédiaires redevables, une méthode de calcul de barème de rémunération pour les titulaires de droit, déterminant les caractéristiques d’un modèle valide de rémunération ; et, si un tel modèle semble exister, ses conséquences économiques et son encadrement juridique.

Un premier document de travail balayant les différents usages va être rendu public prochainement. Il a pour objectif de clarifier et préciser ceux d’entre eux susceptibles d’être qualifiés d’ « échanges non marchands ». Il sera soumis à remarques et contributions.

Les résultats seront présentés au Collège de l’Hadopi qui, sur le fondement de ses compétences légales, décidera des suites qu’il choisit de leur donner.

HADOPI : les poids lourds sont pas contents

Propagande

Il est bien loin temps où Christine Albanel, alors ministre de la Culture et Franck Riester, rapporteur du projet de loi se targuaient d’un magnifique accord populaire où dans un large consensus, industriels, fournisseurs d’accès, associations d’utilisateurs du Net et ayants-droit signaient les yeux fermés les accords de l’Elysée qui ont engendré HADOPI.

Les moyens de sécurisation que la HADOPI doit labelliser sont la cible d’une nouvelle attaque, et pas des moindres. La mastodonte du Net, Yahoo, Microsoft et Google, par le biais de la CCIA (Computer and Communications Industry Association) s’inquiètent de voir une autorité administrative dicter ce que le marché de la sécurité tenait bien en main jusque là. Selon Numerama, cet appel serait renforcé par le fait que la HADOPI a le pouvoir d’obliger les concepteurs de logiciels à se plier à ces spécifications « même au delà de la lutte contre le piratage« . La CCIA semble également craindre que la HADOPI ne vienne entraver l’apparition d’autres solutions technologiques.

L’argumentaire de la CCIA tient en trois points :

Le premier concerne la pressante obligation faite aux particuliers d’installer un dispositif qui ne répond pas forcément à ses besoins. Même si l’utilisateur est libre de l’installer ou de ne pas l’installer, s’il veut prouver sa bonne foi, l’installation de cette solution pourrait lui valoir les faveurs devant le tribunal. La CCIA pointe du doigt le sentiment que certains utilisateurs pourraient avoir en se sentant « présumés coupables » à moins qu’il n’acceptent d’installer ce dispositif. La CCIA rappelle le risque non négligeable d’ « encourager des comportements indésirables par des gouvernements répressifs« .

Le second argument, un peu plus discutable à mon sens car il glisse vers le procès d’intention, stigmatise un comportement du logiciel dont je n’ose croire qu’il finisse par être validé : celui de la liste de blocage. Je disais « discutable » car cette « fonctionnalité » est tout simplement inacceptable, nous avons déjà pu constater qu’un gouvernement, même démocratique, devant une telle tentation, ne sait résister à rayer du Net quelques sites qui n’ont rien à voir avec la mission initiale qu’il souhaitait confier à un tel outil. La liste de blocage consisterait en une liste transmise par la haute autorité aux éditeurs de ces solutions, elle serait tenue secrète (enfin jusqu’au moment où elle fuitera ou sera récupérée par un petit malin qui aura sniffé sa connexion ou décompilé son client)… Dans cette perspective, j’espère que la HADOPI ne commettra pas la bourde de spécifier un tel outil, ni même AUCUN mécanisme opaque visant à altérer l’accès à certains contenus sans que l’utilisateur n’en soit informé en toute transparence..

Dernier argument auquel j’adhère pleinement : le projet stigmatise des protocoles, particulièrement le P2P et la technologie de Bittorent qui sert à acheminer également des contenus légaux et qui représente une providence pour de nombreux créateurs qui souhaitent se faire connaitre et qui n’ont pas forcément les moyens de s’offrir un hébergement et de la bande passante. Faut-il encore rappeler qu’HADOPI est en train de profondément modifier la topologie du réseau et les usages (j’entends par usage le fait que les utilisateurs migrent vers des solutions centralisées, s’éloignant encopre un peu plus du modèle acentré et neutre sur lequel l’Internet repose.

Le message de la CCIA est assez clair pour être pris au sérieux et surtout, il démontre, une fois de plus, qu’HADOPI est un texte bâclé, ni fait ni à faire, pour lequel les professionnels n’ont pas été consultés, ou pas écoutés. Les signataires du large consensus des accords de l’Elysée, comme Xavier Niel l’avait d’ailleurs souligné, la méthode Olivennes n’était qu’une mascarade convenue.

Cet épisode est bien là pour nous rappeler que les labs d’HADOPI auront bien du mal à nous faire oublier les carences des parlementaires qui inconscients, ont muselé l’opposition pendant les débats contre tout bon sens. En muselant toute opposition, le gouvernement a réussi a créer une situation bien embarrassante pour lui même, brandissant des sondages bidonnés qui indiquaient que l’HADOPI étaient plébiscitée par les Français, sans parler des pétitions bidons signées par des enfants et même des personnages de science fiction.

Comment une loi si populaire peut-elle rencontrer autant d’obstacles pour son application ? Peut-être parce qu’à force de demander des enquêtes bidons, les commanditaires finissent par y croire… bêtise ou naïveté ? Toujours est-il qu’il est temps que le législateur se réveille et comprenne enfin qu’on ne peut passer en force sur Internet comme on le fait pour d’autres choses. Internet est un écosystème complexe, vivant, auto suffisant, et auto régulé, basé sur les concepts d’ouverture et de neutralité.

Les politiques qui se félicitaient du fait que les français n’aient pas de mémoire vont devoir s’y faire… le Net en a une, lui, de mémoire, et les mensonges des défenseurs de ce texte de loi remonteront, uns par uns, ils seront à chaque fois bien plus destructeurs que n’importe quel déni de service sur le site de la HADOPI.

On adapte pas le Net à une politique, on adapte sa politique au Net…

La HADOPI va t-elle dédommager les FAI ?

tuyauEn dehors de SFR et ses DNS en carton (qui étaient encore en carafe aujourd’hui) qui assume promptement son zèle pour communiquer gratuitement l’identification des adresses IP de ses abonnées à la HADOPI, les autres fournisseurs d’accès n’ont toujours pas de réponse concernant le paiement des frais engagés dans l’identification des personnes qui n’ont pas compris que le P2P était la seule cible de la haute autorité. On ne s’étonnera d’ailleurs pas d’un passage en force comme pour le blocage des sites imposé par une autre « haute autorité administrative » (c’est très tendance en ce moment), l’ARJEL, qui a réussi à obtenir un blocage des sites « par tous les moyens possibles« , dans une décision de justice en référé.

Oui sauf que la HADOPI c’est aussi, et surtout, des utilisateurs de P2P qui migrent sur des solutions de téléchargement basées sur un modèle minitelien avec un serveur central (Megaupload) que tout le monde bourine allègrement. Le P2P est un modèle d’échange qui a pour vertu d’équilibrer la charge de trafic sur un réseau là où des sites de direct download comme Megaupload auront pour effet de saturer un lien de plusieurs terabits en sens unique (de Megaupload vers l’utilisateur). Tout ceci va également avoir un coût pour les fournisseurs d’accès qui, pour le coup, pourraient connaitre des congestions ou faire les gros yeux quand ils vont recevoir la douloureuse de trafic transatlantique (les serveurs de Megaupload sont principalement situés aux USA et aux Pay-Bas.

Il me semblerait en ce sens logique que les fournisseurs d’accès demandent un dédommagement à la HADOPI (ou aux sites de download) qui ne manquera surement pas de proposer à ces derniers de bloquer ces sites … allez on prend les paris ?

La bande passante qui n’était pas un réel problème jusque là risque bien de le devenir, encore une perversion de la HADOPI.

TorrentReactor s’offre une ville en Russie

torrent reactor villageTorrentReactor, l’un des poids lourds du Peer to Peer au niveau mondial, annonce sur son site web qu’il se serait payé un petit village en Russie anciennement nommé Gar pour la modique somme de  $ 148 000. TorrentReactor se serait même permis de le renommer à son propre nom (ТОРРЕНТРЕАКТОР). Le coin est un peu paumé, en Sibérie occidentale, pas loin de la centrale nucléaire de Seversk. Il n’y fait pas particulièrement bon vivre et vous n’avez surement jamais rêvé de passer vos vacances aux côtés des 214 âmes qui peuplent le bourg, mais ici au moins, le tracker torrent est à l’abris de la RIAA. Les autorités russes ne sont pas trop regardantes concernant l’échange de fichiers sur Internet, le laisser faire y est la règle, comme pour des crimes numériques plus graves que le partage. TorrentReactor confie avoir choisi parmi une liste de lieux un endroit en rapport avec son nom, il était donc évident que ce soit proche d’installations nucléaires… c’est qu’un datacenter ça consomme ma petite dame.

Toorentreactor.net est constitué en société et fait savoir que la somme investie servira à réparer les routes, équiper l’école ou encore ou à investir dans de nouvelles machines agricoles qui sont le fond de commerce des habitants de cette petite commune rurale, une providence pour ses habitants dont le revenu annuel moyen n’excède pas $42 ! Autre effet bénéfique, pour que ce petit bled ne devienne aux yeux du geek une parfaite destination de vacances, TorrentReactor viendra avec sa fibre arroser les champs en très haut débit.

Torrentfreak rappelle que The Pirate Bay avait envisagé de réunir les fonds nécessaires (750 millions d’euros) au rachat de l’île de Sealand, le projet avait rapidement été abandonné et les îles proposant un accès très haut débit ne sont pas si nombreuses que ça.

La riposte graduée fait des petits en Nouvelle Zélande… mode hardcore

p2pSelon Torrentfreak, la risposte graduée à la Française serait en train de faire des petits, il faut dire que ça germait depuis un moment là bas. En 2008, le gouvernement néo-zélandais proposait, à l’instalr de la France, une loi pour tenter d’endiguer le partage de fichiers sur Internet. Le dispositif comporte quelques similitudes avec la France, à commencer par son système de riposte graduée qui pourrait conduire les contrevenants à une suspension, allant jusqu’à 6 mois de leur abonnement Internet. La constitution du dossier se faisant entièrement à charge contre l’internaute et sans preuve plus tangiblequ’en France, à savoir une adresse IP, le gouvernement a du modifier son texte afin de respecter un minimum les droits de la défense (je ne saurais pas vous dire si l’ordonnance pénale existe en Nouvelle Zélande mais un système du même type leur pend au nez). Pour contourner le « détail » de la preuve, la France a opté pour le risible et déjà ridiculisé délit de négligence caractérisée

Comment en France, il s’agit d’un modèle « 3 strikes », soit 3 avertissements et on coupe. Les plus fervent fans de la répression, la New Zealand Law Society, ont même avancé l’idée de supprimer définitivement l’accès à Internet. Comme en France, l’Internet suspendu n’aura pas le droit de s’ouvrir un abonnement chez un autre fournisseur d’accès Internet. Mais des voix s’élèvent, s’opposant à la déconnexion, elles souhaitent qu’elle soit retirée du projet de loi, c’est le cas de Jordan Carter, directeur de la InternetNZ Policy, et qui l’a fait savoir à l’assemblée. Jordan Carter insiste sur le fait que la déconnexion est une peine disproportionnée dans une société qui ne sait plus se passer d’Internet, tant dans la vie quotidienne que professionnelle.

Google, également consulté sur la question a pointé du doigt les dommages collatéraux liés à des usurpations d’adresses IP ou aux réseaux wifi publics.

Je serais à la place du gouvernement Néo Zélandais, j’attendrais que les mangeurs de grenouilles mettent en place leurs Hadopi, puis j’observerais les premiers spams partir et la réaction qui va s’en suivre avant de me lancer dans un projet aussi stupide … pas vous ?

BitTorrent: De Seedfuck à TMGKicker ?

Alors que le Net est toujours en ébullition autour de Seedfuck, ce petit proof of concept continue son bonhomme de chemin et intéresse des experts du P2P. Tout le monde s’accorde à dire que tuer les réseaux P2P n’est pas la bonne solution, du coup, la cible identifiée devient TMG, marquant ainsi une nouvelle étape dans la préparation de la cyber guerilla qui se profile et qui fait maintenant peu de doutes.

Un simple élément du protocole d’échange P2P Bittorent pourrait permettre le développement d’un nouveau proof of concept visant à éjecter du réseau les IP identifiées et surtout les paquets DHT issus des serveurs de TMG. Notez qu’il existe déja des serveurs de TMG qui diffusent de faux paquets DHT sur le réseau déclarant ainsi de fausses Inodes (leur permettant de récupérer les IP des gens qui s’y connectent).

Les amateurs apprécieront cette simple ligne de Python qui en dit long :

from BitTorrent.Rerequester import DHTRerequester

L’élement visé est donc la requête DHT, qui permettrait, dans certaines conditions d’éjecter du réseau BitTorrent par scans répétés. Même si TMG change rapidement d’IP, cette nouvelle méthode s’avère être un SPOF (Single Point of Failure) du dispositif de TMG. Tout semble indiquer que TMG a mis le premier le doigt dans un engrenage qui sera exploité et retourné contre lui.

Des outils comme Peerguardian pourraient donc se voir dotés de nouvelles fonctionnalités qui rendraient la vie bien plus compliquée à TMG. Les serveurs DHT se certifient entre eux et une création massive de serveurs DHT pourrait vite polluer l’écoute de TMG et même forcer au drop (une déconnexion sans ménagement) du réseau… et oui, il existe bien un début de proof of concept. Il ne s’agit encore que du début de la réponse des internautes partageurs à TMG, quand ces derniers auront clairement identifié les faiblesses de l’infrastructure de TMG, ils pourraient bien leur donner beaucoup de fil à retordre. En pratiquant comme on le soupçonne une pollution DHT/PeX (Peer Exchange), TMG a involontairement ouvert la porte à l’utilisation d’une arme qui risque de se retourner contre lui.

Source (for l33tz Hackers)

Hadopi : Seedfucking à l’Assemblée Nationale

seedfuck ANNon, nos députés ne s’adonnent pas à de nouvelles pratiques sexuelles divergentes sur les bancs de l’Assemblée Nationale. En revanche, Seedfuck, le petit programme qui innonde les réseaux P2P et qui commence à proliférer dans d’innombrables versions sur le net (en java, en php, en python, en c#, en C++, en perl …), inquiète suffisamment pour qu’un député en vienne à poser la question qui fâche.

L’information a été révélée par PCInpact, et est disponible en sa question, sur le site de l’Assemblée Nationale. Le député UMP Michel Zumkeller interroge le ministre de la Culture : « M. Michel Zumkeller interroge M. le ministre de la culture et de la communication sur la mise en place d’Hadopi et donc du contrôle des téléchargements sur Internet. En effet, il semblerait qu’un petit programme inonde les réseaux de téléchargements, en peer to peer, de fausses adresses IP. Ainsi, des centaines de personnes se trouvent dans la liste des personnes ayant téléchargé illégalement même si elles n’ont rien fait. Il souhaite donc connaître sa réponse sur ce sujet et sur les possibilités juridiques offertes aux internautes qui seraient victimes de procédures injustifiées. »

En trame de fond, il faut savoir que la HADOPI s’apprête à mettre en route le système de spam le plus cher du monde, sans honorer son devoir légal de fournir une solution logicielle promise, inscrite dans la loi HADOPI 2, à savoir le logiciel de sécurisation sensé prouver l’innocence d’un internaute s’il y a lieu. Cette pirouette juridique est expliquée par Marc Guez (SCPP) comme suit à 01Net : « Nous pensons que oui, car l’envoi des messages a été validé par le Conseil constitutionnel dans le cadre de la première loi Hadopi, alors que les sanctions pour non-sécurisation de l’accès à Internet relèvent de la deuxième »

Seedfuck est comme nous l’avions dit une arme psychologique plus que technique qui vient de parvenir à briser la confiance que certains députés lui apportaient pour l’avoir voter. Si la menace est bien réelle, la HADOPI s’apprête à appliquer une présomption de culpabilité au plus grand mépris des droits élémentaires de la défense. Ceci est évidemment inacceptable !

HADOPI : Comment TMG compte réellement piéger les internautes ?

On apprenait hier que Trident Media Guard, TMG, pourrait utiliser l’injection aléatoire d’ip  fakées sur les réseaux P2P. Le procédé semble à la frontière de la légalité, mais on ne peut pas vraiment en juger, c’est justement le travail d’un juge de définir si oui ou non l’adresse IP constitue une donnée personnelle.

Mais là n’est pas le sujet du jour, nous allons plonger, techniquement, dans les entrailles du système TMG, car figurez que c’est public ! TMG a enregistré des brevets pour son système d’écoute, ce dernier est donc parfaitement spécifié, et c’est relativement bien fichu et plus élaboré que ce que l’on pensait initialement.  Mais ce qu’il y a de bien avec les brevets, c’est qu’il faut les spécifier correctement si on ne souhaite pas se voir exprimer un refus du bureau d’enregistrement… et comme je vous le disais, ces documents sont publics. Ceci n’est pas un scoop et avait été publié par PCInpact, en revanche ça redevient vraiment d’actualité avec cette histoire d’injection d’IP fakées sur les réseaux P2P.

Qui es tu TMG ?

TMG,  Trident Media Guard, est située à Nantes. Les personnes qui nous intéressent, ce n’est pas le board des associés… mais celles qui semblent constituer le noyau technique de l’équipe, ce sont celles ci :

Tout commence par une saine lecture, celle de ces deux documents.

  • Le premier : METHOD FOR REACTING TO THE BROADCAST OF A FILE IN A P2P NETWORK
  • Le second : METHOD FOR COMBATTING THE ILLICIT DISTRIBUTION OF PROTECTED MATERIAL AND COMPUTER SYSTEM FOR CARRYING OUT SAID METHOD
  • Et descriptif plus sommaire en français.

Ils s’agit d’un descriptif exhaustif du mode d’écoute des réseaux P2P par TMG, avec des beaux schémas qui représentent les cas d’utilisations en pratique. Rassurez vous nous avons quelques relations qui sont très au fait de ces technologies et que ces documents intéressent énormément.

Que controle TMG sur un réseau P2P ?

  • Les réseaux surveillés sont tous ceux basés sur le modèle GNUtella2 (BitTorrent, Emule, Edonkey …)
  • Le Client : le client est un sniffer qui récupéra les données du tracker surveillé.
  • Le tracker : l’endoit où les annonces de fichiers sont faites.
  • A peu près tous les maillons de la chaîne.

Une analyse approfondie de ces documents est nécessaire pour comprendre les faiblesses de ce système, nous en avons repéré, mais des personnes plus expertes que moi sur le P2P pourraient par exemple vous expliquer comment fonctionne les requêtes adressées par le sniffer comprenant :

  • Des faux nombres de bits reçus et envoyés (comme Seedfuck)
  • Un identifiant une adresse IP générée ALEATOIREMENT A CHAQUE CONNEXION (comme Seedfuck), du coup ceci empêche le tracker de bannir le sniffer de TMG.

Voir la section 0132 :

[0132]In order to gain authorization to access the addresses of the peers connected to the network, the request addressed by the sniffer 11 comprises a false number of bytes received, a false number of bytes sent, an identifier and an IP address that are generated randomly on each connection as well as an item of information relating to the desired file. This request, addressed in a periodic manner, allows the sniffer 11 not to be banished by the tracker 4.sub.p.

Read more: http://www.faqs.org/patents/app/20100036935#ixzz0lvBbSwuj

Donc vous n’hallucinez pas, TMG injectera bien aléatoirement des ip dans les réseaux P2P, c’est même très clairement spécifié !

HADOPI : TMG pourrait injecter votre propre adresse IP sur Emule

Bon là vous allez voir, on a touché le fond, ou quand les sociétés privées emploient des méthodes qui fricottent avec l’usurpation d’identité pour vous piéger.

Nous nous étions posé, la question de la légalité de l’injection d’IP spoofées avec l’outil Seedfuck.

Tout d’abord, il faut lire le troisième commentaire de cette page, il semble fort bien renseigné et argumenté, même si je dois avouer que je n’ai pas eu le temps de faire des recherches pour confirmer ces informations. Et je dois vous avouer que passer le fou rire, ça me fait quand même réfléchir.

Tout d’abord le four rire :

« Avec juste le serveur 85.159.232.81 dans emule, faite une recherche sur ‘( ‘ en type mp3 avec au moins 10 sources. (n’oubliez pas de désactiver kad). vous trouverez des fichiers, notamment pas mal concernant m. jackson. telechargez ces fichiers : vous constaterez environ 70 sources IP, dont 65 sont des ip artificiellement injectées, correspondant a des utilisateurs du bresil, du portugal, de pologne ou d’autre pays europeens. (environ 5-10 ip par pays). concernant la france, ces ip renvoient chez des clients wanadoo, free, dont certain sont ACTIFS ET EN LIGNE, MEME s’ils n’ont aucune connexion sur un reseau p2p … »

Là on parle bien de spoofer l’adresse IP d’un internaute qui n’a peut-être jamais mis les pieds sur un réseau P2P, ou qu’y s’y trouve et donc rencontre des problèmes de connexion puisque TMG usurpe son IP pour accéder au même service que lui ! Ainsi, un internaute téléchargeur, croisant sa propre adresse IP sur un réseau P2P pourrait engager des poursuites contre TMG si l’adresse IP était reconnue comme un élément de votre identité.

Ce qui nous amène directement à … Seedfuck.

Seedfuck fonctionne sur un principe différent pour des finalités différentes. Mais si TMG use bien de spoofing IP, on se demande ce qu’on reprochera aux internautes qui l’utilisent pour tromper TMG. D’ailleurs toujours sur Seedfuck, j’en profite pour vous signaler, que comme prévu, le code est en train de muter, il est passé en GPL (une version threadée en Python), et plusieurs variantes amusantes se trouvent sur Pastebin ou d’autres pasters.

Le plus triste là dedans c’est d’avoir raison … on assiste comme prévu à une course à l’armement, aux frontières de la légalité, de la part des uns et des autres. Tout ça à cause de quelques moines copistes de DVD…