Archives : IT | EN | ES

Les articles depuis 2022

HADOPI : le mouchard

dimanche 7 novembre 2010 - Contacter l'auteur

A
l’attention des citoyens soucieux de leurs libertés


La loi dite "HADOPI*" ne vise pas directement le téléchargement illégal "de
masse". Trop compliqué et pas rentable pour le menu fretin.
Alors, on sanctionnera le titulaire de l’adresse IP qui a peut-être été
utilisée pour une infraction qui a peut-être été commise.

L’internaute "négligent" pourra donc être condamné à une contravention de
5ème classe (jusqu’à 1500 euros, le double en cas de récidive) dans une
affaire où il ne pourra pas prouver son innocence et où le juge n’aura pas la
preuve de sa culpabilité.

A ce prix là, chourer un album dans un magasin est moins risqué que de le
télécharger illégalement.

Chaque abonné devra donc "sécuriser" sa ligne.
Et bien sûr, la HADOPI* a une idée sur les caractéristiques du logiciel qui
nous garantira un "usage responsable" de nos
machines.

Tout cela est décrit par le menu dans un document intitulé :
"Consultation publique de la Haute Autorité pour la diffusion des œuvres et
la protection des droits sur internet".
avec, en sous-titre :
"Projet de spécifications fonctionnelles des moyens de sécurisation"

<span
style="font-size: 18pt"><a
href="http://onclepixel.lautre.net/articles/hadopi/mouchard/35088715-docprojet-SFH.pdf">Cliquez
ici pour accéder au document

Les extraits du document sont en rouge sombre.

<img
src="http://onclepixel.lautre.net/articles/hadopi/mouchard/securite_hadopi.png"
alt="securite_hadopi.png" />

<a
href="http://commons.wikimedia.org/wiki/File:Jolie-maison-morbihan.jpg">D’après
une photo d’Eric Tavernier, Wikimedia Commons


* HADOPI : Haute Autorité pour la Diffusion des
Œuvres et la Protection des droits sur Internet.


Une consultation publique mais pas trop

Cette consultation a été lancée, de façon très discrète, le 26 juillet
2010.
C’est Numerama qui a levé le lièvre.

href="http://www.numerama.com/magazine/16313-l-hadopi-lance-une-consultation-sur-les-moyens-de-securisation.html">http://www.numerama.com/magazine/16313-l-hadopi-lance-une-consultation-sur-les-moyens-de-securisation.html<br
/>
href="http://www.numerama.com/magazine/16363-exclusif-le-document-secret-de-l-hadopi-sur-les-moyens-de-securisation.html">http://www.numerama.com/magazine/16363-exclusif-le-document-secret-de-l-hadopi-sur-les-moyens-de-securisation.html<br
/>

Non daté, le document comprend donc 36 pages, chacune étant barrée en
diagonale par la mention : "Confidentiel - Ne pas diffuser".
Hormis quelques considérations techniques, le texte est compréhensible par
tous.

<p
style="text-align:center;margin-left:auto;margin-right:auto;">Les
extraits cités ici seront en rouge
sombre
.

En seconde page est une épître de Madame Marie Françoise Marais,
présidente de la Haute Autorité, aux destinataires.
Mais qui sont ces destinataires ? C’est écrit dans la lettre elle-même :
les "concepteurs de moyens de sécurisation
destinés à prévenir l’utilisation illicite de l’accès à un service de
communication au public en ligne, des personnes dont l’activité est d’offrir
l’accès à un tel service, ainsi que des sociétés régies par le titre II du
présent livre [les sociétés de perception et de répartition des droits] et
des organismes de défense professionnelle régulièrement
constitués
".
Pour les autres (associations de consommateurs, citoyens, internautes, CNIL),
circulez, il n’y a rien à voir.
La consultation est ouverte jusqu’au 10 septembre 2010, ce qui laisse 10 jours
pour l’analyser aux originaux qui prennent leurs vacances en août.

"Ce projet a été établi par M. Riguidel, professeur émérite à Télécom
ParisTech."
href="http://linuxfr.org/2010/08/02/27201.html">Monsieur Riguidel est
un chercheur et universitaire titré.

Son dada, c’est la sécurité. Il a fait des recherches sur le DPI (voir annexe
I).


Ajout au 1er octobre 2010
Le document est désormais accessible au petit peuple, sans la mention
"Confidentiel - Ne pas diffuser".
href="http://www.hadopi.fr/download/sites/default/files/page/pdf/Consultation_sur_les%20specifications_fonctionnelles_des_moyens_de_securisation.pdf">Vous
pouvez le télécharger ici, sur le site hadopi.fr
, quand il n’est
pas en panne.

A toutes fins utiles j’ai donc laissé le lien vers la première mouture
interdite, la version "collector" en quelque sorte.
Cerise sur le gâteau, le petit peuple peut faire des observations, et aurait
bien tort de s’en priver.
La consultation est désormais ouverte jusqu’au 30 octobre, et ceux qui ont
fait l’épître l’ont modifiée dans ce sens.


Un mouchard ? Oui, et de la pire espèce !

Le logiciel analysera TOUS les flux entrants et sortants de nos machines. Il
s’agit bien de filtrage, une spécialité de Monsieur Riguidel.
Le logiciel sera léger comme un ULM et puissant comme un avion de chasse (page
20).
Les informations qui intéressent la HADOPI seront enregistrées dans deux
journaux, l’un en clair, l’autre chiffré (pages (5-6).

Ces journaux seront enregistrés sur nos propres machines (pages 27 et 28).<br
/>
Les données devront être conservées pendant un an (pages 5 et 28).

La trouvaille de la Haute Autorité, ce n’est pas
le gros Big Brother qui rapporte nos gestes les plus menus à un guigantesque
serveur.
C’est un Little Brother embarqué dans nos propres machines, qui fera de chaque
l’abonné son propre cafteur... et le cafteur de ses proches.

On peut le comparer au chronotachygraphe, plus communément appelé
"mouchard", des camions.


Page 20<span
style="color:#800000">

Au domicile, une application conforme à SFH permet de surveiller sur chacun
des ordinateurs du foyer, les entrées et sorties à un débit de 20 Mégabits
par seconde (ADSL), voire 100 Mégabits/s (fibre optique). Une application de
type SFH est un logiciel léger, capable de surveiller le trafic de plusieurs
connexions Internet ; il est en mesure d’atteindre les performances
nécessaires à un trafic important.

Page 5-6
Élément 4 : Double journalisation ² (version normale en clair et version
sécurisée ;
les deux versions sont identiques, sauf si la version en clair est manipulée)
des événements significatifs (ex : éléments de la vie interne du moyen de
sécurisation : démarrage, arrêt, activation, désactivation, modification
des profils de sécurité, etc. ;
début et fin de connexion, notification et réponse de l’utilisateur ; par
opposition, le contenu des fichiers, l’historique des pages visitées ne sont
pas enregistrées). Le journal sécurisé doit être confidentiel, authentique
et infalsifiable.

Page 5, note de bas de page<span
style="color:#800000">
² Journalisation :
Les journaux sécurisés doivent être archivés et conservés par le titulaire
de l’abonnement pendant la période d’une année, période où le titulaire
pourrait demander à une tierce partie de confiance, un déchiffrement des
journaux correspondant à des dates fixées et une copie certifiée conforme du
déchiffrement

de ces journaux.

Page 27
Le but de ce module est de produire des journaux d’événements qui retracent
sur une période d’environ une année, l’historique de l’activité des
différents utilisateurs de la ligne Internet.

La journalisation consiste en la sauvegarde, chez le titulaire de l’abonnement
(sur chacun des postes, par exemple) de toute l’activité réseau notable, des
notifications générées et des choix de réponse aux notifications de
l’utilisateur dans un journal.

Page 28
Il existe deux sortes de journaux qui sont produits en temps réel dans deux
bases de données distinctes :

Un journal en clair que les utilisateurs et l’administrateur peuvent consulter.

Un journal sécurisé. Ce journal est confidentiel, authentique et
infalsifiable. Toute tentative de falsification éventuelle est détectable.
Pour des raisons de sécurité, cette seconde version du journal est en mode
binaire, compressée, signée électroniquement, chiffrée, et archivée
pendant une période d’au moins une année. Ce journal sera accessible en clair
à la demande du titulaire de l’abonnement. Il permettra de vérifier, après
déchiffrement avec la clé privée correspondant au logiciel, laquelle est
détenue par le tiers de confiance, la mise en oeuvre du logiciel de
sécurisation à une date et heure donnée, et l’activité informatique de
l’internaute concerné. Ce journal permet de refléter, sans interférence
possible du titulaire de l’abonnement, les événements de l’accès Internet
considéré.


Les listes blanches, noires ou grises

Même si (comme moi) vous n’êtes pas juriste, vous savez que tout ce que nous
faisons se divise en deux catégories :

- Ce qui est interdit par la loi ou par une décision de justice.

- Tout le reste, qui par défaut est autorisé.

Oubliez cela, vos professeurs ne vous ont bonni que des calembredaines, et
écoutez plutôt la leçon de maître Hadopi.

Tout ce qui peut être surveillé (et qui sera détaillé plus loin) peut être
rangé dans des listes aux couleurs chatoyantes.

Nos actes pourront désormais être classés ainsi :

- Ce qui est interdit par la loi, et sera sur des listes noires.

- Ce qui est autorisé par La HADOPI, et sera sur des liste blanches.

- Ce qui est suspect, douteux (ces mots sont choisis par la HADOPI...), et sera
sur des listes grises.

- Ce qui ne sera sur aucune liste (c’est prévu), et qui échappe donc à la
distinction hadopienne entre le Bien et le Mal.


Page 5<span
style="color:#a52a2a">
Les listes peuvent être noires, entités interdites par défaut, blanches,
entités autorisées, grises, entités qui peuvent présenter des risques en
matière de contrefaçon et qui nécessiteront une action de l’utilisateur pour
outrepasser lanotification du risque.

Page 19
Un certain nombre de composants de l’application doivent régulièrement être
mis à jour. Ces composants sont :
Les listes noires, grises ou blanches : Il existe plusieurs sortes de listes,
par exemple liste noire des sites web interdits par décision de justice, la
liste grise des applications suspectes, la liste grise des mots-clés suspects,
la liste blanche de l’offre légale. Ces listes peuvent être aussi relatives
à des ports TCP, à d’autres entités informatiques.

Page 21
Le module de traitement utilise plusieurs sortes de triplets de listes :

Les listes noires : entités interdites (par exemple, la liste des sitesweb
interdits par décision de justice) ;
Les listes grises : entités qui peuvent présenter des risques en matière de
contrefaçon et qui nécessiteront une action de l’utilisateur pour outrepasser
la notification du risque ; par exemple la liste grise des applications
suspectes, la liste grise de plages de ports ou d’adresses qui rentrent en jeu
dans certains protocoles ou certaines applications ;
Les listes blanches : entités autorisées, par exemple la liste blanche de
l’offre légale, la liste blanche de plages de ports ou d’adresses.

Les listes s’appliquent à des entités informatiques : des sites (URLs), des
ports de communications, des plages d’adresses, des logiciels, etc. Les listes
noires, grises et blanches d’une entité sont disjointes. Un élément de
l’ensemble (des URL, des ports, des adresses, des logiciels, etc.) peut
n’appartenir à aucune de ces listes (les listes ne sont pas nécessairement
une partition de l’ensemble). Tous les éléments qui peuvent être
susceptibles d’être surveillés ne sont pas forcément dans une liste. Les
éléments n’appartenant à aucune de ces listes sont traités logiquement et
croisés avec d’autres paramètres, conformément aux règles.


La Haute Autorité s’intéresse tout à ce que vous faites

En premier lieu, votre configuration intéresse la HADOPI, qui vous propose
gentiment "des solutions pour rendre la configuration de son ordinateur
compatible avec un usage responsable". Tout cela est en page 23 (il faudrait la
citer tout entière, mais cela alourdirait ce texte), où vous noterez que dans
le vocabulaire hadopien on trouve le mot "atypique" à ranger auprès de
"suspect" et "douteux". Ainsi, un démarrage de la machine à partir d’un
CD-ROM est atypique !

Nous venons de voir (page 21) que "les listes s’appliquent à des entités
informatiques : des sites (URLs), des ports de communications, des plages
d’adresses, des logiciels, etc.".

A l’inventaire de ces listes, il en manque une : celle qui, précisément,
énumère de façon exhaustive les entités que recouvre cet "etc.".

La page 27 nous apprend au moins deux choses :

- Que le protocole eMule, qui est un protocole pair à pair, est sur liste
grise, ce dont on se doutait déjà.

- Que certains mots voyous sont surveillés. Outre la langue de bois, la Haute
Assemblée pratique volontiers la novlangue..
Google s’est emparé du lexique pour nous revendre les mots au détail, la
HADOPI veut nous rationner le vocabulaire.
Dans quel pays vivons-nous ? N’y a-t-il donc pas, au sein de la Haute Autorité,
un lettré, ou en voie de l’être, pour dire aux autres que le filtrage lexical
est d’une stupidité qui n’a d’égale que son inefficacité ?

La page 29 nous montre un exemple pédagogique de journal.<br
/>
Imaginez que ce journal soit le vôtre.
A 12h 30, le logiciel est en marche, il commence à vous "écouter".
Immédiatement, vous lancez "la mule", un logiciel de pair à pair.
Pas clair ça. L’HADOPI vous fait les gros yeux.
Et malgré cela, vous continuez. Mais c’est de de la rébellion !
A 13h 29, vous matez un site qui est sur liste grise. Vous cherchez vraiment
les ennuis !
Et si l’abonné(e) est la harpie ou le malotru que vous avez épousé par
erreur, ça risque de faire du grabuge dans la chaumière !
A 20h 14, vous vous connectez sur ed2k (eDonkey2000, un autre logiciel pair à
pair).

Contrairement à Bittorrent, le logiciel vous dit : "Continue après
notification" et non pas : "Continue malgré notification".
A 20h 18, vous vous êtes payé une toile en streaming.

Sachant que plusieurs lignes peuvent être inscrites dans la même minute voire
la même seconde, au bout de douze mois ce journal prendra une place non
négligeable sur votre disque dur. Et si un juge vous le demande, nul doute que
ces petits faits, pas illégaux en soi mais quand même douteux et peut-être
même atypiques, ne plaidera pas en votre faveur.


Se reporter aux pages 23, 27 et
29


Installation : en attendant pire, facultative et assortie d’amicales pressions

L’installation est facultive, une désinstallation facile est prévue (pages 6,
16 et 33)...
...Mais il est également prévu de mettre ce programme hors de portée de
l’utilisateur, dans le boîtier de connection, voire même au coeur du système
d’exploitation (pages 9, 18).
Dans l’exemple de la page 9, monsieur Riguidel regrette qu’en l’état,
l’implantation du logiciel dans des boîtiers ADSL soit un peu compliquée. <br
/>
Et il espère bien que cela pourra se faire avec les nouvelles générations de
matériel.

Mais en attendant (page 16), l’activation du programme pourra innocenter
l’abonné dans le cas où il souhaite "pouvoir faire état des dispositions
qu’il a prises pour sécuriser son accès internet".
La menace, à peine voilée, est encore plus explicite sur le site hadopi.fr.
Ceux qui auront installé le mouchard bénéficieront d’une particulière
bienveillance de la CPD *. A contrario, les autres seront plus exposés aux
rigueurs de la loi.


Page 6<span
style="color:#a52a2a">
L’installation et l’utilisation sont simples : activation, désactivation,
administration notamment les mises à jour, ergonomie. Il en va de même pour
la désinstallation qui doit être effective à 100% (aucun « reste »
informatique après désinstallation).

Page 16
La mise en oeuvre d’une application conforme à SFH devra permettre au
titulaire d’abonnement à un FAI ou de téléphonie mobile :

De sécuriser sa navigation personnelle et la navigation sur Internet des
utilisateurs qu’il a sous sa responsabilité, afin de réduire
notablement les risques d’utilisation de son accès Internet à des fins de
contrefaçon ;

De disposer d’un outil conforme à des spécifications définies par l’Hadopi,
dans le cas où le titulaire souhaite pouvoir faire état des
dispositions qu’il a prises pour sécuriser son accès internet.

L’installation de ce logiciel est facultative et la décision dépend du
titulaire de l’abonnement. L’installation doit être simple et pouvoir être
faite en quelques clics. Il en va de même pour la désinstallation qui doit
être effective à 100% (aucun « reste » informatique après
désinstallation).

Page 33
La politique de sécurité de SFH est une politique de sécurité
discrétionnaire, c’est-à-dire non obligatoire. Même installé, le titulaire
de l’abonnement peut désactiver le système quand bon lui semble. Toutefois,
le journal enregistrera le fait que le logiciel a été désactivé.

Page 9
Lorsque l’application est sous la forme de composants informatiques embarqués
dans les instruments de communication (modem, routeur, boitier ADSL),
l’application est alors plus simple et plus efficace. Pour le moment le parc
des boitiers ADSL est très hétérogène, et les boitiers sont dimensionnés
de telle manière qu’il est difficile de loger des applications
supplémentaires dans ces boitiers. Pourtant, on peut réfléchir à ces
solutions pour les futures générations de boitiers, dans le cadre du
renouvellement général du parc.

Pages 9-10
Lorsque l’application est sous la forme de composants installés dans les
ordinateurs, les téléphones portables, les consoles de jeux, ces composants
peuvent omporter des logiciels (propriétaires ou libres) qui peuvent être
installés sur des
//
systèmes d’exploitation propriétaires (de type Windows ou autres), ou bien
sur des systèmes d’exploitation libres de type Unix ou Linux.

href="http://hadopi.fr/usages-responsables/nouvelles-libertes-nouvelles-responsabilites/moyens-de-securisation-labellises.html">Site
Hadopi.fr, votre vie privée contre l’indulgence de la CPD

Un moyen de sécurisation peut être efficace sans être labellisé. Toutefois,
l’utilisation d’un moyen de sécurisation labellisé sera un élément positif
dans le cadre de l’appréciation des faits par la Commission de protection des
droits si l’internaute est concerné par le processus de réponse
graduée.

* CPD : Commission de Protection des
Droits. C’est le bras séculier de la HADOPI, à qui vous aurez affaire si vous
êtes soupçonné d’avoir laissé un fichier frelaté entrer sur votre
machine.


Annexe I - Le DPI, ou Deep Packet inspection, ou inspection en profondeur des paquets.

La plupart des flux qui circulent sur le Net sont découpés en paquets,
expédiés séparément, puis réassemblés à l’arrivée.
Un paquet est composé de l’en-tête et les données. On peut le comparer à
une lettre que l’on confie à la poste.
L’en-tête, ce sont les informations utiles pour que le paquet circule, les
plus essentielles étant les adresses de l’expéditeur et du destinataire.
Elles correspondent à ce qui est écrit sur l’enveloppe.

Les données, c’est le contenu. Le DPI, une spécialité de Monsieur
RIGUIDEL, est une technique de filtrage qui permet d’y accéder.
Et tout y passe : échanges WEB, le FTP, les forums et blogs mais surtout la
messagerie privée.
Et c’est ça qu’ils veulent, les prédateurs de l’Internet.

Le DPI, c’est la version industrielle et
contemporaine du décachetage d’enveloppes à la vapeur, pratiqué par les
concierges de jadis pour renseigner la police ou le propriétaire sur la
"moralité" des locataires.


Annexe II - Le pair à pair, ou l’essence du Net

En anglais peer to peer, en abrégé P2P, prononcer pitoupi ça fait chic.

Le pair à pair, c’est l’échange entre ordinateurs sans qu’aucun n’ait plus de
privilèges que d’autres.
Il s’oppose au réseau centralisé façon toile d’araignée, où tout passe par
de gros serveurs contrôlés par les gros bonnets.

Le pair à pair est irremplaçable pour diffuser très rapidement des fichiers
lourds.

Si par exemple un utilisateur veut télécharger la dernière version d’un
logiciel, il se connecte au serveur via un logiciel pair à pair.

Dès qu’il a reçu le premier paquet, il devient serveur à son tour et peut
l’envoyer à d’autres, et ainsi de suite. C’est ainsi que, le 17 juin 2008, 8
millions de copies du navigateur libre Mozilla Firefox ont été chargés en 24
heures. Sans pair à pair, le serveur aurait déclaré forfait !

Autre application très intéressante, le calcul partagé. Des centres de
recherche ont des besoins énormes de calcul, mais pas d’ordinateurs assez
puissants pour les exécuter en un temps raisonnable. Ils distribuent donc la
tâche à des milliers de volontaires qui acceptent que le temps libre de leurs
machines soient affecté à des travaux utiles.


Conclusion : Mensonges et langue de bois

La communication de la HADOPI est fondée sur une série de contre-vérités et
d’informations biaisées :
- C’est un logiciel de sécurisation.
Non, c’est d’abord un logiciel espion qui garde la trace de nos gestes les plus
menus..
- Non, ce n’est pas un mouchard
Si, et bien pire : c’est une surveillance permanente, à nos frais puisque c’est
notre propre matériel qui est utilisé à cet effet.

- L’installation est facultative
Le document indique une intention de mettre un tel logiciel dans notre boîtier
de connexion, voire au coeur de notre système d’exploitation.
- La HADOPI fait de la pédagogie
Sur le site hadopi.fr, Il est dit explicitement que l’acceptation de ce
mouchard sera "un élément positif" en cas de problème.
En d’autres termes, vous avez le choix entre être espionné à vos frais ou
risquer une contravention de 1500 euros.
Ce discours fondé sur la peur est à la pédagogie ce que le vuvuzela est au
Stradivarius, c’est un vieux maître d’école qui vous le dit.

Alors qu’au XXème Siècle, l’écoute d’une ligne ne pouvait se faire que sur
autorisation d’un juge, pour un numéro et une période spécifiée, et
seulement dans le cas d’une enquête pénale, la HADOPI met le pied dans la
porte pour surveiller l’ensemble des internautes, de façon automatique et sans
limitation de durée.


Ne lisez pas ce document comme un encouragement au téléchargement
illégal.

Le téléchargement illégal est pire qu’un crime, c’est une faute de goût.<br
/>
Au lieu de "pirater" les tubes dont on vous farcit les trompettes ad nauseam à
longueur de journée, remettez-vous à neuf les écoutilles avec les trésors
de la musique libre, téléchargeables gratuitement.
Soutenez les artistes qui ont choisi cette voie, parlez-en autour de vous,
allez les voir s’ils se produisent près de chez vous, achetez leurs galettes
à la sortie du spectacle.
L’argent que vous aurez dépensé ira vraiment vers la création.

href="http://www.dogmazic.net">http://www.dogmazic.net

href="http://www.jamendo.com">http://www.jamendo.com


Remerciements

Merci aux nombreux sites citoyens qui, inlassablement défendent nos
libertés numériques.
En voici quelques uns, avec le regret de ne pouvoir les citer tous.

href="http://www.laquadrature.net">http://www.laquadrature.net

http://www.numerama.com

http://www.pcinpact.com

http://bluetouff.com


href="http://fr.readwriteweb.com">http://fr.readwriteweb.com

alt="columbo.png" /> Ah ! J’allais oublier...

Merci à Madame Albanel pour ses facéties désopoilantes qui auront marqué
son passage au ministère de la Culture, telles que le pare-feu d’Open
Office.

Merci aux Thénardier du Phonographe qui, en nous traitant collectivement comme
des vauriens, en jouant nos libertés contre leurs intérêts, en poussant des
cris d’orfraie tels Harpagon en deuil de sa cassette, ont orienté bon nombre
d’internautes vers les trésors offerts par la musique libre.

Merci enfin à la HADOPI pour cet inoubliable document qui tel un phare m’a
guidé pour l’écriture de cet article.


href="http://creativecommons.org/licenses/by-sa/2.0/fr/"><img
alt="Contrat Creative Commons" style="border-width:0"
src="http://i.creativecommons.org/l/by-sa/2.0/fr/88x31.png" />

Cet article écrit par
href="http://monoeil.info/contact_rolchaso/mail.php"
rel="cc:attributionURL">Bruce Rolchaso
est mis en partage selon les termes
de la href="http://creativecommons.org/licenses/by-sa/2.0/fr/">licence Creative
Commons Paternité - Partage des Conditions Initiales à l’Identique 2.0
France
.

Document à copier, à mettre en ligne, à diffuser joyeusement et
gratuitement.
L’abus de partage est excellent pour la santé !

http://life-in-the-dead.over-blog.com/article-hadopi-le-mouchard-59153040.html

Mots clés : Internet / Numérique-Techno. /
Derniers articles sur Bellaciao :