HADOPI mise à mal... Ou pas...

Par Sid, mercredi 11 mars 2009 à 08:52 :: DRM :: lu 3457 fois :: #328 :: rss :: atom :: English

Flic

ne décision de justice rendue le mois dernier par le tribunal de Guingamp nous est présentée comme un coup dur au projet de loi HADOPI actuellement discuté à l'Assemblée Nationale. Le jugement relaxe au bénéfice du doute un homme de cinquante-trois ans considérant que son adresse IP ne pouvait suffire à l'incriminer.

Pour défendre son client accusé, sur la base de son adresse IP, d'avoir compromis un blog, l'avocat aurait en effet exhibé de nombreux documents disponibles en ligne explicant comment pirater un accès Internet, convaincant ainsi le tribunal qu'il y avait un réel doute quant à l'identité réelle du pirate. Ne disposant ni du jugement en question, ni de la capacité à vous en faire une lecture aussi pertinente qu'un Me Eolas, j'aurais bien du mal à commenter cette décision. Cependant, il me semble bien cavalier d'y voir un pavé dans la marre du projet HADOPI...

Voici la décision telle que je la comprends à la lecture des articles de presse qui en parlent. Un homme de cinquante-trois ans se retrouve accusé d'avoir défacé un blog. C'est manifestement de l'adresse IP qui lui était attribuée au moment des faits qu'est venue l'attaque. Pour se défendre, il a recourt à ce que les anglophones appelle la "plausible deniability". Dans ce cas, il veut montrer que puisqu'il est possible de contourner le mécanisme qui a servi à l'identifier, ce qu'il fait en exhibant de nombreuses pages sur Internet explicant comment pirater une Livebox, alors la preuve ne tient pas. Et par effet domino, qu'on ne peut pas lui attribuer les faits reprochés. Discours qui a manifestement fait mouche auprès du juge. Tant mieux pour lui.

D'aucuns y voient un torpillage en règle de l'assise même des décisions que rendra la future Commission de Protection des Droits chargée d'envoyer les quelques quinze-mille remontrances quotidiennes, puisque toutes basés sur l'identification des présumés contrevenants à partir de leur adresse IP. Je crains que cela ne soit malheureusement pas aussi simple que cela, car ce serait oublier un peu rapidement le fameux article L. 336-3, lequel est sorti du Sénat rédigé en ces termes :

Article L. 336-3
La personne titulaire de l'accès à des services de
communication au public en ligne a l'obligation de veiller
à ce que cet accès ne fasse pas l'objet d'une utilisation à
des fins de reproduction, de représentation, de mise à
disposition ou de communication au public d'oeuvres ou
d'objets protégés par un droit d'auteur ou par un droit
voisin sans l'autorisation des titulaires des droits prévus
aux livres Ier et II lorsqu'elle est requise.
Le fait, pour cette personne, de manquer à l'obligation
définie au premier alinéa peut donner lieu à sanction, dans
les conditions définies par l'article L. 331-25.
La responsabilité du titulaire de l'accès ne pourra peut être
retenue dans les cas suivants :
1° Si le titulaire de l'accès a mis en oeuvre les l'un des
moyens de sécurisation définis en application de figurant sur
la liste mentionnée à l'article L. 331-30 ;
2° Si l'atteinte visée aux droits visés au premier alinéa est
le fait d'une personne qui a frauduleusement utilisé l'accès
au service de communication au public en ligne, à moins que
cette personne ne soit placée sous l'autorité ou la
surveillance du titulaire de l'accès ;
3° En cas de force majeure.

Ce qui veut dire grosso modo que tout un chacun doit veiller à ce que son accès ne serve pas à pomper du DivX et du MP3 illégalement. Pour dégager sa responsabilité en cas de soucis, on peut néanmoins mettre en œuvre un ou plusieurs dispositifs de sécurisation mentionnés à l'article L. 331-30 que voici, verbatim :

Article L. 331-30
Après consultation des parties intéressées ayant une
expertise spécifique dans le développement et l'utilisation
des moyens de sécurisation destinés à prévenir l'utilisation
par une personne de l'accès à des services de communication
au public en ligne, la Haute Autorité peut établir la liste
des spécifications fonctionnelles pertinentes que ces moyens
doivent présenter pour être considérés comme exonérant
valablement le titulaire de l'accès de sa responsabilité au
titre de l'article L. 336-3.
Au terme d'une procédure d'évaluation certifiée prenant en
compte leur conformité aux spécifications visées au précédent
alinéa et leur efficacité, la Haute Autorité peut labelliser
les moyens de sécurisation dont la mise en œuvre exonère
valablement le titulaire de l'accès de sa responsabilité au
titre de l'article L. 336-3. Cette labellisation est
périodiquement revue.
Un décret en Conseil d'État précise la procédure d'évaluation
et de labellisation de ces moyens de sécurisation.

Ce qui, vous en conviendrez, reste quelque peu fumeux. C'est promis, on fera une liste. On ne sait pas ce qu'on va mettre dedans, on ne sait comment on va faire pour le savoir, mais juré, on va faire une. Et au vu des premières idées qui ressortent, ça ne sent pas très bon, dans la mesure où ce texte, plutôt que s'orienter vers la diffusion de bonnes pratiques et de logiciels adaptés, comme pousser à l'utilisation de WPA/WPA2 pour son accès Wi-Fi ou installer un firewall personnel, un antivirus et le tenir à jour, semble aller plus dans le sens de jolis mouchards filtrant^[1] :

le rapport prolonge la cinquième recommandation pour
expliciter l'article L.336-3 en préconisant de mener à
bref délai une expérimentation portant sur le filtrage
sur le poste client synchronisé avec un serveur central

Mouchards qui n'auraient donc rien à voir avec la protection de votre accès, mais plus avec la surveillance active par une entité externe de ce que vous en faites, et in fine d'en filtrer votre utilisation. Moi, je n'appelle pas ça de la sécurisation, j'appelle ça du flicage. Et si je me posais déjà des questions quant à la faisabilité technique d'imposer d'éventuels moyens de sécurisation, des vrais, là c'est clair, je ne m'en pose plus...

Vous noterez que tel que rédigé, et à ce que j'en comprends, le texte n'impose aucune obligation de sécurisation, contrairement à ce qu'on en dit çà et là. Il dit qu'on doit veiller à ce que son accès ne serve pas à accéder à des contenus mis à disposition illégalement sous peine de se faire taper sur les doigts, mais qu'on peut dégager sa reponsabilité si on déploie des mesures et/ou des outils labélisés ou qu'on arrive à prouver une éventuelle compromission. Considérant qu'il est en pratique extrêmement difficile de surveiller son accès en permanence, qu'il en va de même pour apporter la preuve d'une intrusion et qu'enfin on imagine mal ce que peut pourrait être un cas de force majeure dans ce contexte, les utilisateurs se tourneront évidemment vers la sécurisation de l'accès. Ce n'est donc pas, à ce que j'en comprends, une obligation légale, mais très certainement une obligation pratique.

Mais bref, revenons à notre quinquagénaire. Toute la plaidoirie qui a conduit à sa relaxe s'appuie sur la possible compromission de son accès par des techniques décrites comme connues et simples à mettre en œuvre. On parle très probablement de cassage de clé WEP ou de passphrase WPA, mais ça m'étonnerait que ça aille tellement plus loin. Ce qui sous-entend quelque part que son accès n'était pas décemment protégé, en tout cas pas autant qu'il aurait pu l'être.

Plaçons-nous maintenant dans le cadre de l'HADOPI. Supposons que ce quinquagénaire produise le même raisonnement pour échapper à une condamnation pour contrefaçon. Ça risque d'être plus difficile à mener à son terme. Car on va très vite lui rétorquer que si son accès a été compromis, c'est qu'il n'était pas protégé correctement, comprendre en utilisant les moyens labélisés par l'HADOPI. Et qu'à partir de là, il ne peut s'exonérer de sa responsabilité de surveillance... Je vous laisse imaginer la suite. À moins évidemment qu'il puisse démontrer qu'il s'est réellement fait compromettre, ce qui revient à se donner préalablement les moyens techniques de surveiller son accès. Compte tenu de ce qui est mis à la disposition de l'internaute lambda en la matière, je n'ai qu'une chose à lui dire : Good luck Jim...

On sent bien le cercle vicieux. Soit on se plie au déploiement de mesures de sécurité pour s'exonérer de sa responsabilité^[2], et il va être relativement difficile de contester quoi que ce soit en sortant l'argument de la compromission, puisqu'on imagine que les moyens en question seront de facto considérés comme inviolables. Soit on a un accès qui n'implémente pas ces fameuses mesures, auquel cas on ne pourra contester l'accusation qu'en apportant la preuve de la compromission de l'accès^[3], ce qui revient de toute façon à implémenter une surveillance étroite de l'accès.

On rappellera enfin que comme la notion d'interopérabilité a été rejetée, vous n'avez aucune garantie qu'un produit implémentant ces mesures sera disponible pour votre plate-forme, ou qu'il pourra être développé sur la base de spécifications ouvertes. Mon petit doigt me dit que pour les utilisateurs d'OS libres ou peu attractifs pour les gros éditeurs, ça risque de se finir dans la joie et la bonne humeur tout ça...

Ce qui m'amène, comme beaucoup, à m'interroger sur la faisabilité pratique de cette exonération. Ce qui est un point crucial pour l'utilisateur, mais un point de détail pour les rapporteurs dont le but n'est autre que de fliquer les accès Internet en France...

Sinon, ce jugement me semble intéressant parce qu'il rejoint une réflexion que je faisais quant à l'utilisation frauduleuse d'un hotspot Wi-Fi à base de portail captif. Dans la mesure où il n'est pas très compliqué de spoofer un utilisateur dûment enregistré dans ce genre de configuration, n'importe qui pourrait mettre à profit le même raisonnement...

L'histoire ne dit pas encore si le plaignant ou le parquet a fait appel et si on peut considérer cette décision comme une jurisprudence, mais je pense qu'elle a le mérite de soulever des questions intéressantes sur un point parfois négligé, l'imputabilité.

Maintenant, je ne suis pas juriste, donc je vous recommande de prendre tout ce que vous venez de lire avec les pincettes d'usage... Ou d'aller consulter des avis plus éclairés...

Par contre, sur ce genre de sujet, j'accepte bien volontiers les trolls, romantiques ou pas... ;)

Notes

[1] C'est tout au début du rapport en PDF linké précédemment, en page 2.

[2] Exception numéro 1.

[3] Exception numéro 2.

a voté

Note : 4.7/5 pour 3 votes

Trackbacks

Aucun trackback.

Les trackbacks pour ce billet sont fermés.

Commentaires

1. Le mercredi 11 mars 2009 à 10:23, par Guyome

Dilemme soit tu protège ta vie privée et tu n'installes pas de vilain spyware, soit tu protèges ta ligne internet et installe le gentil spyware.

La solution est peut-être de virtualité un XP pour faire tourner le spyware et rester peinard sur ton linux/Bsd/Solaris....

2. Le mercredi 11 mars 2009 à 11:26, par Antoine

Je suis d'accord avec votre point de vue qu'un grand nombre d'accès WIFI ne sont pas suffisamment sécurisés. Mais pour moi les FAI ont une grande responsabilité dans la mise à disposition de box ne supportant pas la WPA (ou depuis récemment, et n'échangeant pas les modèles obsolètes de box). En effet, pour l'utilisateur sans grande connaissance, l'utilisation du matériel fournis est censé être en adéquation avec la législation. Nous verrons donc comment les FAI réagiront et/ou participeront à la mise en oeuvre de ce décret.

Réponse de Sid

En parlant de FAI, j'ai justement lu une jolie boulette dans le dernier Hackin9 qui m'a conduit à une énormité dans les commentaires d'un blog. Il faudra peut-être que je me fasse un nouvel ami en rédigeant un billet là-dessus...

Sur la responsabilité quant à la situation, je reste persuadé que si 802.11i n'avait pas inclus le WEP, sous l'appellation TSN, le parc déployé se porterait nettement mieux. Un peu violent comme approche, mais qui aurait eu le mérite d'éviter la prolifération d'équipements grand public WEP only après 2004 (Nabaztag v1, Nintendo DS, etc.).

3. Le mercredi 11 mars 2009 à 13:38, par NooD

J'ajoute à ce qu'a déjà dit Antoine que le WiFi est également activé par défaut sur les box. Au final, on se retrouve avec un utilisateur dont le réseau est totalement ouvert (allez disons fermé avec une clef Wep ;)) et qui n'est même pas au courant de cette possibilité. Et pire, sur les anciennes box, le mot de passe administrateur ne peut pas être changé...

En ce qui concerne l'article, on ne peut pas parler de jurisprudence tout simplement parce que seule la cour de Cassation (en réalité se sont toutes les hautes juridictions mais dans ce cas il s'afit de la CC). Il existe aussi le revirement de jurisprudence, c'est à dire une décision rendue qui est tout à faire contraire à une décision déjà rendue...

Réponse de Sid

On notera quand même que les nouvelles Livebox arrivent désormais en WPA par défaut... Ça ne change rien au parc existant, mais j'ai pu constater un effet autour de chez moi sur les nouveaux accès.

De plus, il me semble, mais je peux me tromper, que ma Freebox n'avait pas le Wi-Fi activé quand je l'ai reçue. L'interface ne permet plus d'avoir un réseau ouvert et la documentation mentionne que WPA est plus fiable. Ils auraient aussi pu mettre que WEP ne valait pas tripette... Par contre, il est vrai que quand madame Michu va se retrouver devant l'interface, même si on lui dit que :
L'utilisation d'une clef WPA est préferée car elle offre une 
sécurité plus importante que la clef WEP.
Et qu'elle a le choix entre :

WEP ;

WPA (TKIP) ;

WPA (AES/CCMP) ;

WPA (TKIP + AES).

Après qu'on lui ait dit à propos de WPA que :
Vérifiez toutefois que votre système d'exploitation supporte 
le WPA si vous optez pour ce mode de protection. 
Ça va clairement se finir en WEP...

4. Le mercredi 11 mars 2009 à 14:08, par Bigfish

Je rejoins le commentaire d'Antoine. Le pire c'est que les fournisseurs d'accès raconte n'importe quoi
http://chalkmedia.vo.llnwd.net/o16/wm.chalknetwork.na-regional/Bell/fr/06_SecurityFRENCH_Hi.wmv
C'est l'Orange du Canada.
Les clefs WEP 128 bits sont aussi sécuritaires que les transactions bancaires sur internet [je crois que je ne vais plus acheter sur Internet ;-)]
Que faire alors pour que les réseaux soient protégés.
C'est incroyable qu'en 2009 des FAI puissent encore tenir ce genre de discours!!!

Mes parents ne connaissent rien à la sécurité de l'internet et suivent aveuglement les conseils du FAI (noos qui est devenu numéricable heureusement, nous n'avons pas de wi fi chez nous)

Le FAI peut il être considéré comme
Après consultation des parties intéressées ayant une
expertise spécifique dans le développement et l'utilisation
des moyens de sécurisation destinés à prévenir l'utilisation
par une personne de l'accès à des services de communication
au public en ligne
Si oui, Hadopi est mise à mal. Si non, il faudra que les FAI proposent des solutions sécuritaires pour les utilisateurs et qu'ils expliquent comment s'en servir. Que faire faire lorsque nous utilisons un matériel qui n'accepte que le cryptage WEP? (exemple la Wii)

Réponse de Sid

À propos de la vidéo, ça me rappelle un de mes vieux billets ;)

Sinon, pour les moyens de protection, je doute qu'on aille dans ce sens. D'abord parce que les FAI considèrent que ce n'est pas leur problème, ensuite parce que les rapporteurs considèrent que personne n'a aucune obligation dans ce domaine, vous comprenez, il faut que l'utilisateur puisse choisir. Enfin, le but n'est comme je le disais pas de sécuriser l'accès de l'utilisateur, mais de s'assurer qu'il ne fait rien de méchant avec. Les mesures seront probablement développée dans ce dernier sens, et pas dans le premier.

5. Le mercredi 11 mars 2009 à 14:47, par NeoSting

Justement, pourquoi crois-tu qu'une haute autorité veut être créée ? Pour court-circuiter les tribunaux parce qu'ils savent très bien qu'une IP n'est pas LE moyen infaillible pour identifier quelqu'un. Mais comme il faut commencer par contrôler le Net pour vendre les produits que les majors ont décidé pour nous, c'est le seul moyen qu'ils ont de faire peur et de tenter de remettre les gens sur LEUR chemin.

6. Le jeudi 12 mars 2009 à 16:27, par yan

Vous vous focalisez sur le wifi... mais les livebox (je ne sais pas si c'est encore le cas pour les nouvelles mini, cependant) sagem avaient aussi le BT, non desactivable, avec comme PIN d'association par défaut (rarement changé): 0000

Ensuite, c'est a priori assez simple: Un petit tour sur la page d'admin au login jamais changé non plus et oubliez le live cd backtrack... La clef wifi, qqsoit le mode de cryptage, est lisible en clair!

Et le BT passe très bien d'un appart à l'autre... ou l'on peut souvent se rapprocher physiquement juste le temps d'aller chercher la clef wifi.

On pense souvent a scanner le wifi, mais le BT est bien souvent plus intéressant!

7. Le vendredi 13 mars 2009 à 10:10, par 0xFAb

J'aime beaucoup la preuve du disque dur faisant foi ! On pourra se dédouaner en apport son HD. Elle est pas belle celle-là ?

Et un spyware dans une machine virtuelle il raconte quoi ? Un beau spyware de l'État "défoncé" par des méchants, ça pourrait être rigolo non ?

8. Le vendredi 13 mars 2009 à 20:23, par Zythom

L'un des fondements d'hadopi est de remonter à chaque fois jusqu'à l'abonné via le FAI en se basant sur l'adresse IP qu'il lui affecte.

Que se passera-t-il si l'abonné utilise des VPN vers des serveurs proxy, par exemple avec peer2me?

Qu'en pensez-vous?

Réponse de Sid

De nombreuses techniques d'anonymisation de flux existent déjà et les bases d'un système efficaces sont relativement bien maîtrisées. J'avais co-écrit un article pour MISC sur le sujet, dans lequel est présenté Tor.

Tor est complexe, mais des choses plus simples, plus user-friendly, existent, pointent le bout du leur nez ou viendront. On pensera à Freenet par exemple ou des encapsulation de flux sur du P2P comme Hamashi. De manière générale, tout système qui va permettre de masquer vos flux au milieu d'un nuage fera l'affaire. On pourrait se prendre par exemple à imaginer faire du download via le réseau Skype... Et vu le business qui s'est créé autour du téléchargement illégal, attendez-vous à voir des outils payants spécifiquement dédiés à cet usage poindre le bout de leur nez, genre un BitTorrent anonymisant par exemple...

Cependant, si le but est juste de contourner l'identification de l'adresse IP, un simple tunneling suffira amplement. Une machine relais, située en dehors de la juridiction de l'autorité de surveillance devrait parfaitement faire l'affaire. Un petit coup de SSH ou d'OpenVPN à l'autre bout de la planète et ça devrait le faire amplement...

9. Le vendredi 20 mars 2009 à 09:26, par Bluetouff

Bonjour, bravo pour cet excellente analyse. Je partage vos inquiétudes sur le parc existant de box et de routeurs wifi. J'y ajouterai même 2 éléments.

Pour exemple ces fameux SSID que l'on voit encore très régulièrement "THOMSON" qui font de la concurrence à FON, ce sont ceux des clients du défunt NOOS qui livrait des routeurs toute protection désactivée en configuration par défaut, le wifi bien entendu activé et sans cryptage aucun... Encore plus drôle, l'interface de ces routeurs est en anglais interdisant à notre madame michu d'envisager toute configuration. Dans ce contexte le défaut de sécurisation et d'information n'est il pas imputable au FAI qui fournit ces boîtiers ?

Enfin pour les routeurs wifi toujours, les mises à jour de firmware sont trop rarement faites par leur possesseur. En fouillant un peu sur milw0rm on trouve de jolies choses sur certains modèles

10. Le mercredi 8 avril 2009 à 16:41, par L'auteur en question

Sid,

Depuis ce matin, non seulement on te coupe, mais en plus tu risques de continuer à payer l'accès coupé...

J'ai aussi fait un article coup de gueule sur le sujet car en plus, le processus juridique doit ètre carré, la preuve impossible à collecter proprement autrement qu'au moment des faits... A noter qu'au niveau CEE, ils planchent pour inclure Internet comme droit civique et donc la coupure serait interdite au niveau CEE.

Réponse de Sid

Je croyais qu'un amendement était passé pour justement pas payer pendant la coupure...

Tu parles de ça :
http://www.lejdd.fr/cmc/media/200913/l-europe-torpille-la-loi-hadopi_197658.html

Ça la fout mal, c'est vrai.

Ajouter un commentaire

Les commentaires pour ce billet sont fermés.

Ma petite parcelle d'Internet...