Overblog
Suivre ce blog
Editer l'article Administration Créer mon blog
20 octobre 2010 3 20 /10 /octobre /2010 04:09

http://hadopinfo.fr/le-streaming-viendra-t-il-a-bout-de-l%E2%80%99hadopi/A l'attention des citoyens soucieux de leurs libertés



La loi dite "HADOPI*" ne vise pas directement le téléchargement illégal "de masse". Trop compliqué et pas rentable pour le menu fretin.
Alors, on sanctionnera le titulaire de l'adresse IP qui a peut-être été utilisée pour une infraction qui a peut-être été commise.

L'internaute "négligent" pourra donc être condamné à une contravention de 5ème classe (jusqu'à 1500 euros, le double en cas de récidive) dans une affaire où il ne pourra pas prouver son innocence et où le juge n'aura pas la preuve de sa culpabilité.

A ce prix là, chourer un album dans un magasin est moins risqué que de le télécharger illégalement.

Chaque abonné devra donc "sécuriser" sa ligne.
Et bien sûr, la HADOPI* a une idée sur les caractéristiques du logiciel qui nous garantira un "usage responsable" de nos machines.

Tout cela est décrit par le menu dans un document intitulé:
"Consultation publique de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet".
avec, en sous-titre:
"Projet de spécifications fonctionnelles des moyens de sécurisation"

Les extraits du document sont en rouge sombre.

securite_hadopi.png

D'après une photo d'Eric Tavernier, Wikimedia Commons


* HADOPI: Haute Autorité pour la Diffusion des Œuvres et la Protection des droits sur Internet.


Une consultation publique mais pas trop

Cette consultation a été lancée, de façon très discrète, le 26 juillet 2010.
C'est Numerama qui a levé le lièvre.

http://www.numerama.com/magazine/16313-l-hadopi-lance-une-consultation-sur-les-moyens-de-securisation.html

http://www.numerama.com/magazine/16363-exclusif-le-document-secret-de-l-hadopi-sur-les-moyens-de-securisation.html


Vous pouvez télécharger le document ici
.


Non daté, il comprend donc 36 pages, chacune étant barrée en diagonale par la mention: "Confidentiel - Ne pas diffuser".
Pourtant, hormis quelques considérations techniques, le texte est compréhensible par tous.

En seconde page est une épître de Madame Marie Françoise Marais, présidente de la Haute Autorité, aux destinataires.
Mais qui sont ces destinataires? C'est écrit dans la lettre elle-même:
les "concepteurs de moyens de sécurisation destinés à prévenir l'utilisation illicite de l'accès à un service de communication au public en ligne, des personnes dont l'activité est d'offrir l'accès à un tel service, ainsi que des sociétés régies par le titre II du présent livre [les sociétés de perception et de répartition des droits] et des organismes de défense professionnelle régulièrement constitués".
Pour les autres (associations de consommateurs, citoyens, internautes, CNIL), circulez, il n'y a rien à voir.
La consultation est ouverte jusqu'au 10 septembre 2010, ce qui laisse 10 jours pour l'analyser aux originaux qui prennent leurs vacances en août.

"Ce projet a été établi par M. Riguidel, professeur émérite à Télécom ParisTech."
Monsieur Riguidel est un chercheur et universitaire titré.
Son dada, c'est la sécurité. Il a fait des recherches sur le DPI (voir annexe I).


Ajout au 1er octobre 2010
Le document est désormais accessible au petit peuple, sans la mention "Confidentiel - Ne pas diffuser".
Vous pouvez le télécharger ici, sur le site hadopi.fr, quand il n'est pas en panne.
A toutes fins utiles j'ai donc laissé le lien vers première mouture interdite, la version "collector" en quelque sorte.
Cerise sur le gâteau, le petit peuple peut faire des observations, et aurait bien tort de s'en priver.
La consultation est désormais ouverte jusqu'au 30 octobre, et ceux qui ont fait l'épître l'ont modifiée dans ce sens.


Un mouchard? Oui, et de la pire espèce!

Le logiciel analysera TOUS les flux entrants et sortants de nos machines. Il s'agit bien de filtrage, une spécialité de Monsieur Riguidel.
Le logiciel sera léger comme un ULM et puissant comme un avion de chasse (page 20).
Les informations qui intéressent la HADOPI seront enregistrées dans deux journaux, l'un en clair, l'autre chiffré (pages (5-6).
Ces journaux seront enregistrés sur nos propres machines (pages 27 et 28).
Les données devront être conservées pendant un an (pages 5 et 28).

La trouvaille de la Haute Autorité, ce n'est pas le gros Big Brother qui rapporte nos gestes les plus menus à un guigantesque serveur.
C'est un Little Brother embarqué dans chaque machine, qui fera de l'abonné son propre cafteur... et le cafteur de ses proches.


Page 20
Au domicile, une application conforme à SFH permet de surveiller sur chacun des ordinateurs du foyer, les entrées et sorties à un débit de 20 Mégabits par seconde (ADSL), voire 100 Mégabits/s (fibre optique). Une application de type SFH est un logiciel léger, capable de surveiller le trafic de plusieurs connexions Internet ; il est en mesure d'atteindre les performances nécessaires à un trafic important.

Page 5-6
Élément 4 : Double journalisation ² (version normale en clair et version sécurisée ;
les deux versions sont identiques, sauf si la version en clair est manipulée) des événements significatifs (ex : éléments de la vie interne du moyen de sécurisation : démarrage, arrêt, activation, désactivation, modification des profils de sécurité, etc. ;
début et fin de connexion, notification et réponse de l'utilisateur ; par opposition, le contenu des fichiers, l'historique des pages visitées ne sont pas enregistrées). Le journal sécurisé doit être confidentiel, authentique et infalsifiable.

Page 5, note de bas de page
² Journalisation :
Les journaux sécurisés doivent être archivés et conservés par le titulaire de l'abonnement pendant la période d'une année, période où le titulaire pourrait demander à une tierce partie de confiance, un déchiffrement des journaux correspondant à des dates fixées et une copie certifiée conforme du déchiffrement
de ces journaux.

Page 27
Le but de ce module est de produire des journaux d'événements qui retracent sur une période d'environ une année, l'historique de l'activité des différents utilisateurs de la ligne Internet.

La journalisation consiste en la sauvegarde, chez le titulaire de l'abonnement (sur chacun des postes, par exemple) de toute l'activité réseau notable, des notifications générées et des choix de réponse aux notifications de l'utilisateur dans un journal.

Page 28
Il existe deux sortes de journaux qui sont produits en temps réel dans deux bases de données distinctes :

Un journal en clair que les utilisateurs et l'administrateur peuvent consulter.

Un journal sécurisé. Ce journal est confidentiel, authentique et infalsifiable. Toute tentative de falsification éventuelle est détectable. Pour des raisons de sécurité, cette seconde version du journal est en mode binaire, compressée, signée électroniquement, chiffrée, et archivée pendant une période d'au moins une année. Ce journal sera accessible en clair à la demande du titulaire de l'abonnement. Il permettra de vérifier, après déchiffrement avec la clé privée correspondant au logiciel, laquelle est détenue par le tiers de confiance, la mise en oeuvre du logiciel de sécurisation à une date et heure donnée, et l'activité informatique de l'internaute concerné. Ce journal permet de refléter, sans interférence possible du titulaire de l'abonnement, les événements de l'accès Internet considéré.


Les listes blanches, noires ou grises

Même si (comme moi) vous n'êtes pas juriste, vous savez que tout ce que nous faisons se divise en deux catégories:
- Ce qui est interdit par la loi ou par une décision de justice.
- Tout le reste, qui par défaut est autorisé.

Oubliez cela, vos professeurs ne vous ont bonni que des calembredaines, et écoutez plutôt la leçon de maître Hadopi.

Tout ce qui peut être surveillé (et qui sera détaillé plus loin) peut être rangé dans des listes aux couleurs chatoyantes.

Nos actes pourront désormais être classés ainsi:
- Ce qui est interdit par la loi, et sera sur des listes noires.
- Ce qui est autorisé par La HADOPI, et sera sur des liste blanches.
- Ce qui est suspect, douteux (ces mots sont choisis par la HADOPI...), et sera sur des listes grises.
- Ce qui ne sera sur aucune liste (c'est prévu), et qui échappe donc à la distinction hadopienne entre le Bien et le Mal.


Page 5
Les listes peuvent être noires, entités interdites par défaut, blanches, entités autorisées, grises, entités qui peuvent présenter des risques en matière de contrefaçon et qui nécessiteront une action de l'utilisateur pour outrepasser lanotification du risque.

Page 19
Un certain nombre de composants de l'application doivent régulièrement être mis à jour. Ces composants sont :
Les listes noires, grises ou blanches : Il existe plusieurs sortes de listes, par exemple liste noire des sites web interdits par décision de justice, la liste grise des applications suspectes, la liste grise des mots-clés suspects, la liste blanche de l'offre légale. Ces listes peuvent être aussi relatives à des ports TCP, à d'autres entités informatiques.

Page 21
Le module de traitement utilise plusieurs sortes de triplets de listes :
Les listes noires : entités interdites (par exemple, la liste des sitesweb interdits par décision de justice) ;
Les listes grises : entités qui peuvent présenter des risques en matière de contrefaçon et qui nécessiteront une action de l'utilisateur pour outrepasser la notification du risque ; par exemple la liste grise des applications suspectes, la liste grise de plages de ports ou d'adresses qui rentrent en jeu dans certains protocoles ou certaines applications ;
Les listes blanches : entités autorisées, par exemple la liste blanche de l'offre légale, la liste blanche de plages de ports ou d'adresses.

Les listes s'appliquent à des entités informatiques : des sites (URLs), des ports de communications, des plages d'adresses, des logiciels, etc. Les listes noires, grises et blanches d'une entité sont disjointes. Un élément de l'ensemble (des URL, des ports, des adresses, des logiciels, etc.) peut n'appartenir à aucune de ces listes (les listes ne sont pas nécessairement une partition de l'ensemble). Tous les éléments qui peuvent être susceptibles d'être surveillés ne sont pas forcément dans une liste. Les éléments n'appartenant à aucune de ces listes sont traités logiquement et croisés avec d'autres paramètres, conformément aux règles.


La Haute Autorité s'intéresse tout à ce que vous faites

En premier lieu, votre configuration intéresse la HADOPI, qui vous propose gentiment "des solutions pour rendre la configuration de son ordinateur compatible avec un usage responsable". Tout cela est en page 23 (il faudrait la citer tout entière, mais cela alourdirait ce texte), où vous noterez que dans le vocabulaire hadopien on trouve le mot "atypique" à ranger auprès de "suspect" et "douteux". Ainsi, un démarrage de la machine à partir d'un CD-ROM est atypique!

Nous venons de voir (page 21) que "les listes s'appliquent à des entités informatiques : des sites (URLs), des ports de communications, des plages d'adresses, des logiciels, etc.".

A l'inventaire de ces listes, il en manque une: celle qui, précisément, énumère de façon exhaustive les entités que recouvre cet "etc.".

La page 27 nous apprend au moins deux choses:
- Que le protocole eMule, qui est un protocole pair à pair, est sur liste grise, ce dont on se doutait déjà.
- Que certains mots sont interdits. Outre la langue de bois, on pratique la novlangue rue du Texel.
Google s'est emparé du lexique pour nous revendre les mots au détail, la HADOPI veut nous rationner le vocabulaire.
Dans quel pays vivons-nous? N'y a-t-il donc pas, au sein de la Haute Autorité, un lettré, ou en voie de l'être, pour dire aux autres que le filtrage lexical est d'une stupidité qui n'a d'égale que son inefficacité?

La page 29 nous montre un exemple pédagogique de journal.
Imaginez que ce journal soit le vôtre.
A 12h 30, le logiciel est en marche, il commence à vous "écouter".
Immédiatement, vous lancez "la mule", un logiciel de pair à pair.
Pas clair ça. L'HADOPI vous fait les gros yeux.
Et malgré cela, vous continuez. Mais c'est de de la rébellion!
A 13h 29, vous matez un site qui est sur liste grise. Vous cherchez vraiment les ennuis!
Et si l'abonné(e) est la harpie ou le malotru que vous avez épousé par erreur, ça risque de faire du grabuge dans la chaumière!
A 20h 14, vous vous connectez sur ed2k (eDonkey2000, un autre logiciel pair à pair).
Contrairement à Bittorrent, le logiciel vous dit: "Continue après notification" et non pas: "Continue malgré notification".
A 20h 18, vous vous êtes payé une toile en streaming.

Sachant que plusieurs lignes peuvent être inscrites dans la même minute voire la même seconde, au bout de douze mois ce journal prendra une place non négligeable sur votre disque dur. Et si un juge vous le demande, nul doute que ces petits faits, pas illégaux en soi mais quand même douteux et peut-être même atypiques, ne plaidera pas en votre faveur.



Se reporter aux pages 23, 27 et 29


Installation: en attendant pire, facultative et assortie d'amicales pressions

L'installation est facultive, une désinstallation facile est prévue (pages 6, 16 et 33)...
...Mais il est également prévu de mettre ce programme hors de portée de l'utilisateur, dans le boîtier de connection, voire même au coeur du système d'exploitation (pages 9, 18).
Dans l'exemple de la page 9, monsieur Riguidel regrette qu'en l'état, l'implantation du logiciel dans des boîtiers ADSL soit un peu compliquée.
Et il espère bien que cela pourra se faire avec les nouvelles générations de matériel.

Mais en attendant (page 16), l'activation du programme pourra innocenter l'abonné dans le cas où il souhaite "pouvoir faire état des
dispositions qu'il a prises pour sécuriser son accès internet".
La menace, à peine voilée, est encore plus explicite sur le site hadopi.fr. Ceux qui auront installé le mouchard bénéficieront d'une particulière bienveillance de la CPD *. A contrario, les autres seront plus exposés aux rigueurs de la loi.


Page 6
L'installation et l'utilisation sont simples : activation, désactivation, administration notamment les mises à jour, ergonomie. Il en va de même pour la désinstallation qui doit être effective à 100% (aucun « reste » informatique après désinstallation).

Page 16
La mise en oeuvre d'une application conforme à SFH devra permettre au titulaire d'abonnement à un FAI ou de téléphonie mobile :

De sécuriser sa navigation personnelle et la navigation sur Internet des utilisateurs qu'il a sous sa responsabilité, afin de réduire
notablement les risques d'utilisation de son accès Internet à des fins de contrefaçon ;

De disposer d'un outil conforme à des spécifications définies par l'Hadopi, dans le cas où le titulaire souhaite pouvoir faire état des
dispositions qu'il a prises pour sécuriser son accès internet.

L'installation de ce logiciel est facultative et la décision dépend du titulaire de l'abonnement. L'installation doit être simple et pouvoir être faite en quelques clics. Il en va de même pour la désinstallation qui doit être effective à 100% (aucun « reste » informatique après désinstallation).

Page 33
La politique de sécurité de SFH est une politique de sécurité discrétionnaire, c'est-à-dire non obligatoire. Même installé, le titulaire de l'abonnement peut désactiver le système quand bon lui semble. Toutefois, le journal enregistrera le fait que le logiciel a été désactivé.

Page 9
Lorsque l'application est sous la forme de composants informatiques embarqués dans les instruments de communication (modem, routeur, boitier ADSL), l'application est alors plus simple et plus efficace. Pour le moment le parc des boitiers ADSL est très hétérogène, et les boitiers sont dimensionnés de telle manière qu'il est difficile de loger des applications supplémentaires dans ces boitiers. Pourtant, on peut réfléchir à ces solutions pour les futures générations de boitiers, dans le cadre du renouvellement général du parc.

Pages 9-10
Lorsque l'application est sous la forme de composants installés dans les ordinateurs, les téléphones portables, les consoles de jeux, ces composants peuvent omporter des logiciels (propriétaires ou libres) qui peuvent être installés sur des
//
systèmes d'exploitation propriétaires (de type Windows ou autres), ou bien sur des systèmes d'exploitation libres de type Unix ou Linux.

Site Hadopi.fr, votre vie privée contre l'indulgence de la CPD
Un moyen de sécurisation peut être efficace sans être labellisé. Toutefois, l'utilisation d'un moyen de sécurisation labellisé sera un élément positif dans le cadre de l'appréciation des faits par la Commission de protection des droits si l'internaute est concerné par le processus de réponse graduée.

* CPD: Commission de Protection des Droits. C'est le bras séculier de la HADOPI, à qui vous aurez affaire si vous êtes soupçonné d'avoir laissé un fichier frelaté entrer sur votre machine.


Annexe I - Le DPI, ou Deep Packet inspection, ou inspection en profondeur des paquets.

La plupart des flux qui circulent sur le Net sont découpés en paquets, expédiés séparément, puis réassemblés à l'arrivée.
Un paquet est composé de l'en-tête et les données. On peut le comparer à une lettre que l'on confie à la poste.
L'en-tête, ce sont les informations utiles pour que le paquet circule, les plus essentielles étant les adresses de l'expéditeur et du destinataire. Elles correspondent à ce qui est écrit sur l'enveloppe.

Les données, c'est le contenu. Le DPI, une spécialité de Monsieur RIGUIDEL, est une technique de filtrage qui permet d'y accéder.
Et tout y passe: échanges WEB, le FTP, les forums et blogs mais surtout la messagerie privée.
Et c'est ça qu'ils veulent, les prédateurs de l'Internet.

Le DPI, c'est la version industrielle et contemporaine du décachetage d'enveloppes à la vapeur, pratiqué par les concierges de jadis pour renseigner la police ou le propriétaire sur la "moralité" des locataires.


Annexe II - Le pair à pair, ou l'essence du Net

En anglais peer to peer, en abrégé P2P, prononcer pitoupi ça fait chic.

Le pair à pair, c'est l'échange entre ordinateurs sans qu'aucun n'ait plus de privilèges que d'autres.
Il s'oppose au réseau centralisé façon toile d'araignée, où tout passe par de gros serveurs contrôlés par les gros bonnets.

Le pair à pair est irremplaçable pour diffuser très rapidement des fichiers lourds.

Si par exemple un utilisateur veut télécharger la dernière version d'un logiciel, il se connecte au serveur via un logiciel pair à pair.
Dès qu'il a reçu le premier paquet, il devient serveur à son tour et peut l'envoyer à d'autres, et ainsi de suite. C'est ainsi que, le 17 juin 2008, 8 millions de copies du navigateur libre Mozilla Firefox ont été chargés en 24 heures. Sans pair à pair, le serveur aurait déclaré forfait!

Autre application très intéressante, le calcul partagé. Des centres de recherche ont des besoins énormes de calcul, mais pas d'ordinateurs assez puissants pour les exécuter en un temps raisonnable. Ils distribuent donc la tâche à des milliers de volontaires qui acceptent que le temps libre de leurs machines soient affecté à des travaux utiles.


Conclusion: Mensonges et langue de bois

La communication de la HADOPI est fondée sur une série de contre-vérités et d'informations biaisées:
- C'est un logiciel de sécurisation.
Non, c'est d'abord un logiciel espion qui garde la trace de nos gestes les plus menus..
- Non, ce n'est pas un mouchard
Si, et bien pire: c'est une surveillance permanente, à nos frais puisque c'est notre propre matériel qui est utilisé à cet effet.
- L'installation est facultative
Le document indique une intention de mettre un tel logiciel dans notre boîtier de connexion, voire au coeur de notre système d'exploitation.
- La HADOPI fait de la pédagogie
Sur le site hadopi.fr, Il est dit explicitement que l'acceptation de ce mouchard sera "un élément positif" en cas de problème.
En d'autres termes, vous avez le choix entre être espionné à vos frais ou risquer une contravention de 1500 euros.
Ce discours fondé sur la peur est à la pédagogie ce que le vuvuzela est au Stradivarius, c'est un vieux maître d'école qui vous le dit.

Alors qu'au XXème Siècle, l'écoute d'une ligne ne pouvait se faire que sur autorisation d'un juge, pour un numéro et une période spécifiée, et seulement dans le cas d'une enquête pénale, la HADOPI met le pied dans la porte pour surveiller l'ensemble des internautes, de façon automatique et sans limitation de durée.


Ne lisez pas ce document comme un encouragement au téléchargement illégal.
Le téléchargement illégal est pire qu'un crime, c'est une faute de goût.
Au lieu de "pirater" les tubes dont on vous farcit les trompettes ad nauseum à longueur de journée, remettez-vous à neuf les écoutilles avec les trésors de la musique libre, téléchargeables gratuitement.
Soutenez les artistes qui ont choisi cette voie, parlez-en autour de vous, allez les voir s'ils se produisent près de chez vous, achetez leurs galettes à la sortie du spectacle.
L'argent que vous aurez dépensé ira vraiment vers la création.

http://www.dogmazic.net

http://www.jamendo.com


Remerciements

Merci aux nombreux sites citoyens qui, inlassablement défendent nos libertés numériques.
En voici quelques uns, avec le regret de ne pouvoir les citer tous.

http://www.laquadrature.net

http://www.numerama.com

http://www.pcinpact.com

http://bluetouff.com

http://fr.readwriteweb.com

columbo.pngAh! J'allais oublier...

Merci à Madame Albanel pour ses facéties désopoilantes qui auront marqué son passage au ministère de la Culture, telles que le pare-feu d'Open Office.

Merci aux Thénardier du Phonographe qui, en nous traitant collectivement comme des vauriens, en jouant nos libertés contre leurs intérêts, en poussant des cris d'orfraie tels Harpagon en deuil de sa cassette, ont orienté bon nombre d'internautes vers les trésors offerts par la musique libre.

Merci enfin à la HADOPI pour cet inoubliable document qui tel un phare m'a guidé pour l'écriture de cet article.


Contrat Creative Commons
Cet article écrit par Bruce Rolchaso est mis en partage selon les termes de la licence Creative Commons Paternité - Partage des Conditions Initiales à l'Identique 2.0 France.

Document à copier, à mettre en ligne, à diffuser joyeusement et gratuitement.
L'abus de partage est excellent pour la santé!

 

http://www.monoeil.info/journal/node/52

Partager cet article

commentaires

Présentation

  • : Le blog d' Eva, R-sistons à la crise
  • Le blog d' Eva,  R-sistons à la crise
  • : Tout sur la crise financière, économique, sanitaire, sociale, morale etc. Infos et analyses d'actualité. Et conseils, tuyaux, pour s'adapter à la crise, éventuellement au chaos, et même survivre en cas de guerre le cas échéant. Et des pistes, des alternatives au Système, pas forcément utopiques. A défaut de le changer ! Un blog d'utilité publique.
  • Contact

Recherche