HADOPI pour les nuls : explications et contournements

Vendredi 3 avril 2009, l’assemblée nationale a adopté la loi "Création et Internet", avec seulement 16 députés dans l’hémicycle. Pourtant ce texte risque, s’il est appliqué, d’apporter de profondes modifications au web français tel que nous le connaissons.

Accrochez vos ceintures et bienvenue dans le cyber espace !

Tout d’abord pour qu’il y ait sanction, il faut qu’il y ait constatation d’une infraction. Le système mis en place dans le cadre de l’Hadopi est souvent comparé au système de radar automatique sur les routes, où des points de contrôles sont placés sur la route, et tout automobiliste qui franchit ce point à une vitesse supérieure à la limite est "flashé" et reçoit une amende. Dans le cas d’une voiture, c’est la plaque d’immatriculation qui permet d’identifier le conducteur pour lui envoyer une amende. Cette plaque est censée identifier de manière unique chaque véhicule. Mais est-il possible d’identifier chaque ordinateur de manière unique pour que la sanction s’adresse à la bonne personne ? C’est là que l’IP entre en jeu.

L’IP (qui signifie "Internet Protocol") est en effet le point d’entrée sur la toile. Composée de 4 chiffres compris entre 0 et 255 (par exemple 192.168.0.1) elle est sensée identifier de manière unique chaque ordinateur, et correspond à l’adresse à laquelle une machine pourra être contactée (comme un numéro de téléphone). Pour prendre un exemple, lorsque vous vous connectez à un site web (par exemple www.jaimelesartistes.fr/), votre navigateur va d’abord aller récupérer l’adresse IP de la machine qui héberge le site, puis se connecter directement à cette machine grâce à son IP et récupérer les pages que vous avez demandées. L’adresse IP de www.jaimelesartistes.fr est 94.23.48.134, vous pouvez donc vous y connecter directement en rentrant cette adresse dans votre navigateur. Si vous voulez connaître votre adresse, allez sur ce site www.ip-adress.com, vous verrez qu’on peut vous localiser avec une précision déconcertante.

Chaque machine connectée doit donc avoir une IP unique, ce qui pose un premier problème puisque le nombre d’IP possibles est déjà inférieur au nombre de machines connectées dans le monde. Il va donc falloir procéder à des regroupements de machines pour que tout le monde puisse être connecté, c’est ce qu’on appelle des réseau locaux (où LAN). Par exemple, dans la plupart des entreprises, un réseau local est mis en place. Dans ce réseau, chaque machine a une IP qui n’est valable qu’au sein de l’entreprise (comme un numéro de téléphone interne). Pour accéder au web, toutes les machines de l’entreprise vont ensuite passer par une "passerelle", machine qui est directement connectée au web et qui va faire l’intermédiaire entre le réseau local et le réseau global (un peu comme une standardiste qui se chargerait de dispatcher les appels). Ainsi, une seule IP unique est nécessaire pour toute l’entreprise. La Box de votre fournisseur d’accès fonctionne exactement sur le même principe, une seule adresse IP unique pour toute la famille.

Vu de l’extérieur, tous les employés de l’entreprise et tous les membres de la famille ont donc la même IP. Hors, tout le système de sanction de l’Hadopi repose sur cette fameuse IP. Problème : si un seul salarié télécharge illégalement, c’est comme si toute l’entreprise avait téléchargé illégalement puisqu’il est impossible, vu de l’extérieur, de savoir qui est responsable. Même problèmes dans certains syndics qui partagent un accès internet communautaire : un seul résident télécharge illégalement et tout l’immeuble est fautif. On voit déjà une des failles béantes du système : avec le fonctionnement actuel du web (qui n’a jamais changé depuis sa création), la coupure de connexion internet va dans la plupart des cas être une punition collective.

Certes, les entreprises ne pourront normalement pas être coupées : elles seront obligées, à la place, de "sécuriser" leur réseau à leurs frais pour éviter que les employés puissent télécharger (donc soit brider le réseau pour interdire certaines fonctionnalités, soit surveiller la machine de chaque employé). On aperçoit déjà ce que risque de coûter Hadopi aux entreprises françaises... Les associations, elles, n’échappent pas à la coupure. Dans le cas du syndic c’est tout l’immeuble qui sera coupé, pareil pour la famille. Argument de Mme Albanel : "si on vous coupe internet vous pouvez toujours aller chez le voisin". Dans ce cas autant couper aussi l’eau et le gaz, on pourra toujours aller se doucher et se faire à manger chez le voisin...

Contournement :

Cependant, ce fonctionnement peut aussi être utilisé pour contourner le système de riposte graduée en permettant de masquer son IP : c’est ce qu’on appelle les réseaux privés virtuels (ou VPN). Grace à la magie de l’immatériel, il est possible de recréer le même type de réseau que dans une entreprise, à savoir plusieurs machines connectées entre elles sur le même réseau local (dit "privé virtuel" car en réalités les machines ne sont pas localisées au même endroit), et qui passent par une passerelle pour accéder au net.

Ainsi, toutes les machines du réseau privé virtuel vont prendre l’IP de la passerelle, et pourront donc surfer dans un parfait anonymat. Si cette passerelle est située à l’étranger, le droit français ne s’y applique pas et vous êtes tout bonnement intouchable par l’Hadopi. L’utilisation d’un VPN est très simple, puisqu’il suffit d’installer un petit logiciel sur son ordinateur. Ils sont souvent payants (5€ à 30€ par mois, même si certains sont gratuits : www.peer2me.com), sont légaux et vous permettent un surf totalement anonyme. Personnellement j’aurais préféré payer cette somme pour une licence globale. Le gouvernement veut du tout répressif, tant pis pour lui...

La chasse est ouverte : la collecte des IPs.

Nous avons vu que l’IP, contrairement à ce que pense le gouvernement, n’identifie pas de manière unique une machine. Nous allons voir qu’en plus, cette IP peut être détectée lors d’activités frauduleuses alors que vous n’y êtes absolument pour rien.

Tout d’abord, revenons rapidement sur le fonctionnement des réseau d’échange d’égal à égal (ou Peer to Peer). Voila les deux systèmes les plus répandus en ce moment :

* Les systèmes centralisés : c’est le cas d’eMule. Vous vous connectez d’abord à un serveur, qui référence toutes les machines connectées et tous les fichiers partagés (une sorte de grand annuaire qui sait exactement qui a quoi). Lorsque vous faites une recherche, le serveur vous indique l’IP de toutes les machines qui ont le fichier qui vous intéresse, et il vous suffit de vous connecter à ces machines pour récupérer le fichier. Le fichier est coupé en morceaux pour pouvoir télécharger sur plusieurs machines en même temps. Lorsque vous téléchargez un fichier, votre machine partage automatiquement les morceaux déjà récupérés. Contrairement à ce que beaucoup pensent, ce n’est pas le fait de télécharger qui va être sanctionné mais le fait de mettre à disposition une œuvre, chose qui se fait automatiquement quand vous la téléchargez. Les ayants droit n’ont donc qu’à se connecter et demander poliment au serveur quelles machines partagent ses fichiers pour avoir l’IP de tous les contrevenants. Crypter les données est donc totalement inutile tant que le serveur donne librement l’adresse IP des machines qui possèdent un fichier.

* Le système décentralisé : c’est le cas de bit torrent. Cette fois-ci plus de serveur central, ce qui permet de rendre le système d’échange beaucoup plus robuste. Les machines connectées à bit torrent communiquent uniquement entre elles et se chargent de savoir qui partage quoi (au lieu d’avoir un seul annuaire qui sait tout, chaque machine possède son propre annuaire consultable librement). Interviennent ensuite des trackers (par exemple The Pirate Bay, le plus célèbre) qui vont scanner les réseaux et tenter de référencer les fichiers partagés. Un fichier .torrent contient l’adresse IP de quelques machines qui avaient le fichier à un instant donné (contrairement au serveur qui donne toutes les machines à l’instant présent). Ensuite, lorsque vous vous connectez aux machines qui ont le fichier, ce sont elles qui vont vous indiquer, grâce à leur annuaire, d’autres machines sur lesquelles vous pouvez télécharger. A force de vous connecter sur des machines vous en découvrirez d’autres, jusqu’à connaître l’adresse de toutes les machines qui ont le fichier. Pour le reste, le fonctionnement est équivalent au système centralisé. Dans ce cas, les ayants droit n’ont qu’à demander aux trackers pour avoir l’IP de certains contrevenants, mais doivent se connecter au réseau et télécharger le fichier pour les avoir tous.

Or ce système de traque pose problème dans plusieurs cas :

* Premier cas : le serveur ou le tracker ont des informations erronées. C’est le cas de The Pirate Bay qui ajoute volontairement des adresses IP aléatoires dans son tracker pour démontrer les failles de la traque. Des chercheurs du MIT s’étaient également amusés à faire accuser de piratage les imprimantes de leur faculté en ajoutant leur IP dans les trackers (alors qu’une imprimante est incapable de partager illégalement un fichier). Cette méthode pour relever des infractions est caduque, a moins de se connecter à chaque machine et de réellement télécharger le fichier incriminé. Or se connecter et télécharger prend du temps, c’est pour ça que beaucoup de relevés d’infractions ne le font pas. De plus la loi ne garantit absolument pas la manière utilisée pour relever les IPs. Les ayants droit n’ont qu’à fournir une IP, l’heure de la connexion ainsi que le fichier incriminé pour lancer la procédure. Pour reprendre l’exemple de la sécurité routière, c’est comme si des entreprises privées bricolaient elles même leurs propres radars et envoyaient les photos des plaques avec la vitesse à la gendarmerie pour qu’elle mette des amendes, sans que ces radars soient étalonnés par l’état. Dans le cas du relevé défectueux de la part des ayants droit, aucun recours n’est possible.

* Deuxième cas : votre voisin a piraté votre wifi, qui était insuffisamment sécurisé, et l’a utilisé pour télécharger illégalement. Or selon la loi Hadopi, le seul fait de ne pas avoir su sécuriser sa connexion vous expose à la sanction. Sachant que toutes les Box ont le wifi activé par défaut et que pirater un wifi est enfantin (cf preuve faites par UFC que choisir : www.ecrans.fr/IMG/pdf/Constat-ufc-que-choisir-wifi.pdf, un véritable guide pas à pas), ce cas devrait être assez fréquent. Le gouvernement a prévu dans la loi que vous ne subirez pas de sanction si vous arrivez a prouver (à vos frais) qu’on vous a piraté, et que vous donnez le nom du vrai coupable. Cependant, soit vous vous y connaissez suffisamment en informatique et vous saurez blinder votre borne wifi, soit vous n’y connaissez rien et vous serez bien incapable de prouver qu’il y a eu piratage.

* Troisième cas : un virus. La plupart des virus modernes consistent à transformer votre machine en "zombie" pour créer un "botnet". Un "botnet", ce sont plusieurs milliers de machines "zombies" connectées au web, qui obéissent au doigt et l’œil du pirate qui les contrôle (on parle ici de vrai pirate, et pas du pirate du dimanche qui télécharge). Ils sont souvent utilisés pour envoyer des mails de spam et attaquer des sites web. Mais ils permettent également au pirate de transformer la machine infectée en passerelle, et donc de surfer et télécharger avec votre IP. Vous pourrez donc subir une coupure alors que vous n’étiez pas responsable, à moins d’arriver à prouver que vous avez été piraté, chose encore une fois très difficile pour le commun des mortels (moi compris).

On le voit, le système de collecte des IPs par les ayants droit est plus que discutable, et les moyens de recours sont irréalistes. Seul recours restant : le logiciel Hadopi, dont nous allons parler après ces quelques contournements.

Contournement :

De nouveaux types de réseaux d’échange font leur apparition :

* Le streaming : ces sites permettent d’écouter de la musique en ligne sans téléchargement. Hélas certains artistes sont encore absents de ces plateformes (les Beatles, Led Zeppelin, ...). Le plus connus est Deezer (très apprécié par Christine Albanel) : www.deezer.com.

* La musique libre : la licence Creative Commons permet de publier de la musique libre. Profitez-en, c’est gratuit et souvent de qualité ! Exemple : www.jamendo.com.

* Le réseau d’amis à amis (ou F2F) : dans ce système, seuls vos amis connaissent votre vraie adresse IP. Ainsi, vous ne voyez qu’une dizaine d’ordinateur sur un réseau qui en comporte beaucoup plus. Ce système décentralisé rappelle un peu les réseau de la résistance pendant la deuxième guerre mondiale, où très peu d’acteurs avaient une vision globale du réseau, mais où l’information circulait quand même. Le système Freenet est basé sur ce principe. Exemple de client : oneswarm.cs.washington.edu.

* Le réseau d’invisible à égal (I2P) : ce système permet de télécharger anonymement en utilisant un système d’adresse autre que l’IP. De plus, le réseau est crypté et chaque ordinateur fait passerelle pour tous les autres, ce qui permet de ne jamais savoir directement qui possède quoi et qui télécharge quoi. Un peu comme un réseau de résistance, qui ferait suivre un message de la main à la main, de manière à ce qu’aucun des intermédiaires ne sache qui a envoyé le message et qui doit le recevoir. Le système Tor est basé sur ce principe. Exemple de client : www.i2p2.de.

Le logiciel de sécurisation : big brother is watching you.

Seul recours restant pour prouver votre bonne foi (non vous ne rêvez pas, c’est à vous de prouver votre innocence), avoir installé sur votre machine un logiciel labellisé. Ce logiciel pourra être payant (a vous donc de payer le logiciel alors que vous n’avez encore commis aucune infraction !), et non interopérable (tant pis pour les linuxiens). Que fera ce logiciel ? Selon le ministère, il s’agira d’un logiciel installé sur votre machine qui retransmettra toute votre activité à un serveur central pour vérifier que vous n’êtes pas en train de télécharger illégalement. Si l’Hadopi vous accuse de téléchargement illégal, prouver que ce logiciel était en fonctionnement à l’heure de l’infraction pourra vous dédouaner.
Hormis le fait que ce type de logiciel n’existe pas pour le moment, plusieurs contradictions apparaissent :

* Si à l’heure de l’infraction votre machine était éteinte, le logiciel ne sera pas actif et vous ne pourrez prouver votre bonne foi. A moins de laisser l’ordinateur allumé 24h/24, cette solution est aberrante.

* Comme je l’ai dit auparavant, plusieurs machines peuvent se cacher derrière une seule adresse IP. Est-ce qu’installer le logiciel sur une de ces machines sera suffisant pour se dédouaner ? Dans ce cas je vais vite l’installer sur une vieille machine qui tournera en permanence et télécharger comme bon me semble sur une autre machine.

* Du point de vue éthique : on conçoit mal de mettre l’ensemble des français sur écoute pour lutter contre le terrorisme ou la pédophilie. L’Hadopi va enregistrer l’activité de tous les ordinateurs pour lutter contre le téléchargement illégal... Cherchez l’erreur. De plus, comment savoir ce que vont réellement collecter ces logiciels ? Informations personnelles ? Code de carte bleu ?

Contournement :

Installer le logiciel Hadopi sur une vieille machine et ne jamais l’utiliser, ou trouver une version modifiée du logiciel qui ne surveille rien mais certifie que tout va bien.

Les avertissements et la coupure :

Passons maintenant à la phase répressive du projet. Vous avez été repéré téléchargeant un fichier sur un réseau d’échange et votre IP a été signalée à l’Hadopi. Celle-ci va donc demander vos coordonnées à votre fournisseur d’accès pour vous envoyer un mail d’avertissement.

* Premier problème : vous avez changé d’adresse et votre fournisseur a oublié d’enregistrer le changement. Ainsi si la personne qui habite dans votre ancien appartement télécharge illégalement, vous serez pénalisé à sa place. Ce cas s’est déjà présenté aux Royaumes Unis.

* Deuxième problème : ce mail sera envoyé sur la seule boîte mail que le fournisseur connaisse, c’est à dire celle qu’il vous a attribuée lors de votre abonnement. Personnellement je n’utilise jamais cette adresse et ne connais même pas le code d’accès. Dorénavant, il va donc falloir surveiller attentivement cette boîte. Le mail peut également être bloqué par un anti-spam et vous ne le verrez jamais passer.

* Troisième problème : le mail ne comportera pas les fichiers que vous avez téléchargé. Il sera juste dit que votre IP a été repérée (sans la préciser non plus) et que si vous continuez vous serez coupé, point. Comment organiser sa défense si vous ne savez même pas ce qu’on vous reproche ?

* Quatrième problème : le mail ainsi que la lettre recommandé seront facultatifs. Christine Albanel jure qu’ils seront toujours envoyés, mais venant d’une autorité composée de 6 personnes qui doit envoyer 10000 mails et 3000 courriers par jours on peut en douter.

De plus, il sera impossible de contester la procédure tant que la connexion ne sera pas coupée. Si vous estimez que le mail ou le courrier vous accuse à tort, vous pouvez toujours contacter l’Hadopi pour avoir des renseignements, mais si votre IP réapparait par malheur sur les réseaux d’échange vous serez tout de même sanctionné. Une fois la connexion coupée, vous pourrez toujours avoir recours à un juge mais ce recours ne sera pas suspensif. C’est à dire que tant que le juge n’aura pas examiné votre dossier (ce qui peut prendre plus d’un an), votre connexion sera toujours coupée. Autant dire que les recours seront inutiles.

Concernant la coupure, elle pourra aller d’un mois à un an. La durée d’un mois est réservée aux internautes qui décideront d’effectuer une "transaction" avec l’Hadopi. Par transaction comprendre payer une amende, installer le logiciel Hadopi et jurer de ne plus recommencer. Sinon... on ne sait pas ! Pour les autres ce sera entre deux mois et un an de coupure. Qu’est-ce qui déterminera la durée... on ne sait pas ! L’utilisateur pourra également être contraint d’installer le logiciel Hadopi pour une durée indéterminée une fois la connexion rétablie.

Pendant la coupure vous ne payerez plus la partie internet de votre abonnement (6 à 7€) mais payerez le reste. Vous ne pourrez pas vous désabonner et votre nom sera ajouté à une liste noire vous interdisant de vous réabonner chez un autre fournisseur d’accès. Une simple erreur sur la liste noire (homonymie, erreur de typographie, ...) et vous voila privé de connexion sans raison et sans recours. De plus, cette liste sera publique. Le projet prévoyait à la base de publier dans la presse le nom des internautes dont la connexion a été coupée (sorte de mise au pilori moderne), mais cette disposition a heureusement été supprimée.

Contournement :

Pas de réel contournement, si ce n’est de contester systématiquement. Appelez les, envoyez leur des courriers, faites tout ce qui est possible pour vous faire entendre avant que le couperet ne s’abatte. Après c’est trop tard.

L’Hadopi, garante de l’anonymat des internautes : la double peine de bonne foi.

De plus, cerise sur le gâteau, la coupure de connexion internet ne vous met pas à l’abri d’un procès. L’Hadopi sanctionnant le défaut de sécurisation de ligne, rien n’empêche les ayants droit de porter plainte, vous exposant à une peine maximale de 3 ans de prison et 300 000 euros d’amende.

Mais rassurez vous, Hadopi est là pour veiller à votre anonymat. Ainsi les ayants droit, qui auront fourni votre IP à la haute autorité, ne connaitront jamais votre nom et votre adresse. Seule la haute autorité aura à faire à vous. Christine Albanel voulait de cette manière éviter que les ayants droit puissent, en plus de la coupure internet, porter plainte contre les gros téléchargeurs identifiés.

Cependant, le risque de double peine est en réalité renforcé de cette manière. Ainsi les ayants droit peuvent très bien relever une première fois votre IP et la donner à l’Hadopi, qui vous coupera la connexion, puis la relever une deuxième fois (votre IP change à chaque connexion) et cette fois ci porter plainte. En effet, les ayants droit ignoreront qu’ils ont à faire à la même personne et une double peine est alors possible.
Selon la ministre, les juges auront pour consigne de classer l’affaire si une action a déjà été entreprise par l’Hadopi. Une consigne n’est pas une loi... Et que se passe-t-il si l’action auprès du juge a lieu avant l’action de l’Hadopi ?

Le filtrage du net : pas besoin de pédophilie, Hadopi suffit.

Le rêve de contrôler le net prend enfin forme. Nicolas Sarkozy souhaitait filtrer internet pour lutter contre la pédophilie et le terrorisme, plus besoin... L’Hadopi ainsi que les juges pourront décider du filtrage de n’importe quel site. Sont visés tous les sites qui permettent ou facilitent la téléchargement illégal d’œuvres (The Pirate Bay est en première ligne), mais également tous les sites proposant des moyens de contournement du filtrage (cette article pourrait donc être filtré). Les fournisseurs d’accès seront responsable de ce filtrage et pourront être poursuivis s’il n’est pas mis en œuvre.

Outre le fait que le net sera désormais contrôlé par l’exécutif, le système de filtrage connaît également de nombreuses failles. On se souvient ainsi du Royaume Uni qui avait bloqué tout wikipedia car un des articles, portant sur l’album Virgin Killers de Scorpion, contenait la pochette de l’album montrant une fillette nue, image jugée pédopornographique et censurée : http://www.ecrans.fr/Qu-est-ce-qui-....

Contournement :

La plupart des filtrages se font au niveau du serveur qui fera correspondre un nom de site à son adresse IP. Il suffit par exemple de retirer jaimelesartistes.fr de ce serveur pour qu’on ne puisse plus connaître son IP et qu’il soit inaccessible. Un tel serveur s’appelle un serveur DNS, et vous est fourni automatiquement pas votre fournisseur d’accès. Le contournement consiste à utiliser un autre serveur DNS que celui du fournisseur d’accès, DNS qui lui ne sera pas censuré. Le plus connu est OpenDNS : www.opendns.com/start/computer.
Il est également possible que le fournisseur d’accès tente de filtrer l’accès à l’IP du site, mais cette méthode est peu fiable car le site peut en changer rapidement (The Pirate Bay l’avait fait en 24h, suite au blocage du site par la Suède).

Un VPN à l’étranger vous permet également de passer outre le filtrage.

Conclusion :

En voyant tous ces points on se rend compte que l’Hadopi est un système déjà obsolète qui risque de faire condamner un grand nombre d’internautes innocents. Il va de plus coûter cher à l’état (donc aux contribuables), aux fournisseurs d’accès (donc aux clients) et aux entreprises.

Ce projet risque également de faire prendre un retard considérable à l’économie numérique Française. Selon moi, une personne ayant peu de connaissance dans le domaine et se voyant accusée (à tort ou à raison), risque de résilier son abonnement dès le premier avertissement par peur de la sanction. Cela va nourrir une certaine méfiance à l’égard du web qui commençait à s’estomper.

De plus, ce projet est totalement liberticide dans le sens où le juge est totalement évincé de la procédure. La Haute autorité peut décider de couper le net, filtrer certains sites et en sur référencer d’autres sans avoir de comptes à rendre. La procédure est de plus totalement arbitraire, aucun critère n’étant fixé dans le choix de la sanction.
Enfin, toute personne soucieuse de son anonymat sera désormais tentée d’avoir recours aux méthodes de contournements citées ci-dessus. Cela aura pour effet d’opacifier le réseau et de ralentir la lutte contre la pédophilie et le terrorisme.

Certains trouvent ce texte inutile ou inapplicable, je le trouve pour ma part révélateur de l’ignorance du gouvernement ansi que de sa volonté de contrôler le seul média qui lui échappe. Ce texte est puissamment rétrograde et risque de marquer le web français de manière durable.

En espérant avoir été clair...

Cbx.

http://www.agoravox.fr/article.php3...