HADOPI : la genèse d’un failware
Hier, les Labs de l’HADOPI rendaient public un appel à expérimentations concernant les mal nommés « moyens de sécurisation ». Je souhaitais donner un écho un peu moins technique, plus vulgarisateur, à ce billet publié sur mon blog. L’exercice n’est pas spécialement simple car passé le ton cynique et dérisoire que m’inspire le simple terme « moyens de sécurisation » dans ce contexte précis, il me semble important que tout le monde prenne bien conscience de la supercherie que revêt l’attribution à l’HADOPI de cette disposition du texte de loi. Les mots sont forts, ils fâcheront certainement quelques personnes que j’apprécie par ailleurs… mais désolé, c’est vraiment plus fort que moi, je ne peux pas laisser passer ça, je ne l’ai jamais fait et je ne le ferai jamais. Le présent article est long, j’en suis désolé. Mais prenez le temps de le lire jusqu’au bout et de suivre les liens. Vous ne devriez pas le regretter. Son objectif est de vous expliquer pourquoi, même si par miracle un jour, sur une autre planète, dans une dimension parallèle, l’HADOPI finissait par accoucher d’une solution logicielle de « sécurisation », il ne faudra jamais, jamais… jamais l’installer sur votre machine.
Le mauvais timing
A l’origine, il faut bien comprendre que l’HADOPI ne devait entrer dans sa phase répressive qu’une fois l’offre légale satisfaisante, et qu’une fois des moyens de sécurisation d’accès Internet mis à disposition des Internautes. C’est du moins ce qu’une application « honnête » de cette loi aurait dû proposer. Mais la réalité a vite ramené le législateur sur terre, plongeant la Haute Autorité dans une belle merde… subtile application. La subtile application de la risposte graduée fait qu’aujourd’hui HADOPI transmet des dossiers d’internautes aux tribunaux, alors que l’offre légale est toujours inexistante, alors que les « moyens de sécurisation » ne verront probablement jamais le jour… et il vaudrait mieux, vous allez vite comprendre pourquoi.
Deux infractions pour le prix d’une
La Haute Autorité, pressée par les ayants droit, a bien dû se résoudre à envoyer ses emails de « recommandation » qui recommandaient aux internautes flashés par TMG de « sécuriser leur accès Internet » sans expliquer comment. Pourquoi un mail de « recommandation » ? Tout simplement car le délit retenu dans le cadre du processus de riposte graduée n’est pas le délit de contrefaçon, mais la « négligence caractérisée » dans la sécurisation de l’accès à Internet, une négligence qui a conduit à l’utilisation présumée frauduleuse de la connexion Internet d’une personne dans le but de télécharger illégalement une oeuvre de l’esprit. On peut en déduire que toujours dans le cadre de la riposte graduée, ce délit de « négligence caractérisée » devient caractérisé lorsque le même internaute se fait reflasher par TMG une seconde fois : il reçoit alors un courrier recommandé de mise en garde l’invitant à sécuriser son accès Internet… recommandé qui évidemment n’explique toujours pas comment faire. Ultime étape, nous dirons que la négligence devient « caractéristique » (à l’image de certains sites gouvernementaux) quand notre internaute partageur ou négligent, voit son dossier transmis à la justice après s’être fait flasher une troisième fois par nos cowboys de test négligents du Net… aka TMG. Quand on vous claironnait qu’HADOPI c’était de la pédagogie et que cette loi visait à dépénaliser la contrefaçon sur Internet… on vous mentait ! Le délit de contrefaçon est toujours de rigueur et les internautes qui ont vu leur dossier transmis à la justice, en plus d’une amende de 1500 euros et d’une coupure de leur accès Internet, encourent toujours une action en justice des ayants droit pour contrefaçon. Et la bonne nouvelle pour les ayants droit, c’est que vu que ce sont eux qui mandatent TMG pour constater les infractions et que ce sont nos impôts qui vont financer leur identification, ils ont entre leurs mains une petite milice privée sponsorisée par des deniers publics pour identifier des internautes, les balancer à l’HADOPI, et se les finir devant un tribunal, mais cette fois… pour contrefaçon.
De l’incongruité spatiotemporelle
En pratique, les ayants droit se fichent bien de ces moyens de sécurisation. L’HADOPI est donc une loi censée créer assez de peur d’une sanction financière (la négligence caractérisée est une contravention sanctionnée par une amende pouvant aller jusqu’à 1500 euros), afin de dissuader les internautes de partager la culture.
C’est donc trois ans et quatre mois après le vote d’HADOPI que les « moyens de sécurisation » refont surface. Entre temps il y a eu une sorte de gouffre spatio-temporel sur lequel nous n’allons pas revenir, ce serait bien inutile. La publication des Labs disponible ici, vise à préparer le terrain à l’écriture de spécifications fonctionnelles de moyens, sur le papier, permettre à l’internaute une certaine sérénité. Mais il n’en est rien. Si vous ne comprenez pas comment au bout de 3 ans et 4 mois nous en sommes seulement à l’écriture du post-it pré-spécifications, je vous propose de visualiser tout ça sur ce use case d’ « extreme programming augmenté »®
Cliquez sur l'image pour l'agrandir
With courtesy of L.A.R.A.C.H.E
Vous installeriez un logiciel de sécurisation dont l’écriture de la version Béta2 du post-it servant à la pré-écriture des spécifications a pris 3 ans et 4 mois alors que le virus spammeur est déjà en production depuis 2 ans ?
Les chiens ne font pas des chats
Confier à l’HADOPI, investie d’une mission de surveillance et de répression, la mission de sécuriser un accès Internet est une bien bonne blague. On trouvait ça amusant au début, mais très franchement, 3 ans et 4 mois après la promulgation de ce texte ni fait ni à faire… on va finir par trouver ça ridicule. En aucun cas, la Haute Autorité ne sera en mesure de produire un logiciel dont la finalité ne peut être avouée dans ses spécifications puisqu’elle n’est déjà pas si claire que ça quand on mesure le décalage entre le texte, son application, et la communication faite autour. Attention, nul besoin ici de parler de flicage de masse. Le document est assez clair sur un point : c’est bien l’internaute qui a les pleins pouvoirs sur ce qu’il va filtrer ou non, et non les fournisseurs d’accès sur ordre des ayants droit. Le problème est avant tout sémantique.
Le texte de loi Internet et Création a été voté pour venir en aide à une industrie qui connaît une grave crise (NDLR : krkrkr….), une très grave crise (NDLR : hihihihih…), la culture allait mourir si « grâce à notre président Nicolas Sarkozy » n’était pas intervenu. Grâce à HADOPI, le piratage a baissé de 35%! (NDLR : hahahahahaha…).
Comment ça on vous prend pour des cons ? Nooooooon … même pas vrai.
Nous sommes donc en face d’un texte qui s’appuie sur des constats mensongers pour légitimer des subventions publiques déguisées à une industrie qui se porte très bien. Franchement, comme argument pour vous faire installer un logiciel sur votre ordinateur, on aurait pu trouver mieux non ?
Un peu plus qu’une erreur sémantique, une tromperie
Aujourd’hui, ça ne choque plus grand monde d’entendre parler de vidéo-protection en lieu et place de la vidéo-surveillance. Sauf que théoriquement (je dis bien théoriquement), une caméra dans un lieu public n’offre pas au monde vos données personnelles. En revanche, parler de sécurisation là où il est question de surveillance de l’accès Internet est bien plus pernicieux. La sécurisation d’un accès Internet implique bien trop de choses pour que les éditeurs de logiciels de sécurité eux-mêmes parviennent à des résultats réellement satisfaisants. Comme nous nous sommes ici fixé pour objectif de ne pas employer de vocabulaire technique, sachez simplement qu’il faut deux choses sur Internet pour assurer la sécurité de vos communications et de votre patrimoine informationnel et que ces deux choses sont à utiliser conjointement, sous peine d’avoir l’air très vite un peu con :
- Un VPN chiffré (le maillon fort)
- Un cerveau (le maillon faible, car comme le dit l’adage « there’s no patch against stupidity »)
En entreprise, une politique de sécurité, même musclée, n’est pas toujours en mesure d’éviter des infections virales, des accès frauduleux, des fuites de données. C’est pourtant la mission que s’est fixé le texte de loi Création et Internet : fournir un logiciel aux internautes leur permettant de prouver leur bonne foi en cas de détection par TMG d’un téléchargement illicite. Une mission impossible attendu que vous vous doutez bien que si ce type de logiciel servait vraiment à quelque chose, de nombreux éditeurs s’en mettraient plein les fouilles avec.
Le fondement même de tout l’édifice, l’adresse IP que relève TMG sur les réseaux peer to peer, n’a pas encore de statut clair concernant sa valeur probatoire. Il faudra bien un jour y passer, manque de bol HADOPI retarde tout ça pour des cas bien plus graves et dramatiques que le téléchargement du dernier Lady Gaga. On prendra par exemple ce cas, d’un virus qui télécharge des images pédopornographiques à l’insu de la victime. Pensez-vous qu’un juge invoquera HADOPI pour expliquer à la victime accusée à tort de détention de matériaux pédopornographiques qu’il est coupable de négligence caractérisée et qu’il n’avait qu’à « sécuriser son accès Internet » ?
Mais revenons un instant à notre erreur sémantique. Ce qui est défini comme un « moyen de sécurisation d’accès Internet » dans notre post-it en pdf de la pré-version des spécifications fonctionnelles n’est ni un antivirus, ni un firewall, ni une solution de contrôle parental, ni un système de détection d’intrusion. On sait juste que ce sera une « nouvelle génération de logiciel » dont on ne sait pas du tout ce qu’il va faire si ce n’est filtrer l’accès à certains sites web ou certains protocoles, deux actions que quasiment toutes les « box » des fournisseurs d’accès font déjà ou pourraient faire moyennant une centaine de lignes de code. Le document des labs le qualifiera donc de Moyen de Maîtrise des Flux (MMF).
Wait… Créer un logiciel qui bloque l’accès à des sites et des protocoles ? 3 ans et 4 mois pour accoucher de ça… un « MMF »… soit un peu plus d’un an par lettre. A ce rythme, la première implémentation du logiciel devrait être accessible au public d’ici 12 à 15 millénaires.
Vers un remède pire que le mal
En sécurité informatique, comme dans bien d’autres domaines, les pires choses partent souvent de bonnes intentions. L’idée n’est pas ici de dénoncer un mauvais remède à un mal réel, mais une mauvaise solution cherchant à remédier à un mal inexistant, et j’ai malheureusement tendance à penser que c’est encore plus grave.
Je tiens à présenter mes excuses à l’avance pour la comparaison qui va suivre qui ne manquera pas d’en choquer certains, mais ce projet est pour moi tout à fait comparable au deuxième amendement de la Constitution américaine relatif au droit à la détention d’armes à feu. Sous prétexte d’assurer une protection, on place dans sa sphère privée un logiciel qui ne sert à rien, qui sera la cible d’attaques, pouvant mener à des compromissions majeures et massives. Nous en avons d’ailleurs déjà eu un exemple direct avec le premier logiciel soit disant compatible HADOPI édité par Orange et vendu sur abonnement qui distribuait aux quatre vents les adresses IP et sites visités en temps réel des bons gogos qui avaient souscrit à cette offre par peur bleue d’HADOPI… un épisode tragicomique qui sera appelé à se répéter, encore, encore et encore tant qu’une institution parfaitement illégitime dans une mission de « sécurisation des accès Internet » tentera, par un logiciel, de répondre à une problématique d’usage inexistante. Ce logiciel ne vous sécurisera pas, il visera juste à vous interdire un usage du Net, le partage de la culture. Ne soyons pas crétins, refusons la prohibition culturelle, refusons le port d’arme… refusons ce « MMF ».
« La plus grande réussite du diable est d’arriver à faire croire qu’il n’existe pas »
Pour conclure, sachez que la neutralisation d’un logiciel de sécurité, c’est l’objectif numéro un de tout intrus. Pas une solution logicielle n’y a échappé, pas même les systèmes de détection d’intrusion qui à une époque, pour certains, créaient plus d’insécurité qu’ils n’en apportaient. Vous devinez ce qu’est la première chose que fait un bon virus ? Il neutralise les antivirus, de préférence à l’insu de la victime, puis il neutralise les parefeu afin de télécharger ses mises à jour, muter, ou donner un accès distant à son créateur ou diffuseur. Un scénario d’intrusion réussie vise à instaurer une menace persistante.
Pour tous les arguments précités dans cet article, sachez que l’installation d’un « MMF » ne représente qu’une seule chose : une menace supplémentaire, pouvant conduire à de véritables catastrophes.
A ce jour, HADOPI n’a produit que de l’insécurité, n’attendez surtout pas qu’il en sorte quelque chose qui vous protègera.
Billets en relation :
60 
S'abonner
Si vous avez apprécié cet article, abonnez vous gratuitement pour ne plus rien manquer.
Y’a qu’à voir les représentants d’Hadopi pour se dire qu’il y’a un problème…
Merci pour cette belle synthèse. Entre l’incompétence caractérisée qui domine la mise en place de cet énorme fail à roulettes et la risible tentative de récupération électoraliste de résultats présumés, HADOPI est probablement le plus beau cadeau fait par l’UMP à tous ses opposants.
Ah, si seulement il y avait un candidat du « Parti de l’Internet » …
Et si on le créait ce parti ?
Le PP ^^ Mais je ne crois pas les avoir vue aux présidentiels. Ils se concentrent sur les législative.
Quel que soit le futur président de la république, je suis convaincu qu’avec la bonne dose de pression sur les parlementaires, on peut parvenir au même but que les lobbies: faire passer n’importe quelle loi qui nous arrange, peu importe le président.
Allez la Quadrature !
Comme dit Crazysky, il y a le PP pour ça. Seulement, il y a tout juste quelques centaines d’adhérents, donc bon …
Il s’agit déjà de gagner au moins une circonscription aux législatives, ce que n’est pas gagné. Certes, 2% dans les Yvelines en 2007 c’était pas mal vu la taille du parti, mais de là à gagner …
Inexistente, persistente, …
Tu es fâché avec le participe présent? ^^
Il est fâché aussi avec le mot « Genèse »…
Ah ouais, ‘tain, j’avais oublié que c’était le but. J’avais fini par penser que c’était pour être bêtement méchant et c’est tout.
Sinon
n’est pas des plus clair.
ralala, c’est presque trop second degré et gentillet comme billet.
pour ma mamie de Bretagne (désolée elle habite pas dans le cantal) ça reste trop flou. faut brailler haut et fort que ceux qui pensent à l’Hadopi n’y connaissent rien, et qu’ils sont aidés par des gens qui visent leurs profits.
moi chuis prêt à mettre mes 60 euros par an de VPN dans une vraie soluce qui me permet d’être tranquille.
et j’ajoute pas mon abonnement Spotify ou Canalplay hein, je dois être un bon gogo sans doute ?
Pas mal
J’ai bien aimé les 2 graphes
On peut aussi citer l’exemple des caméras ip qui (si ça n’a pas changé depuis que j’ai lu l’info) sont accéssibles à n’importe qui, à cause d’une faille. Résultat, n’importe qui peut savoir quand on n’est pas chez soi. Niveau sécurité on a fait mieux ^^
que certaines caméras IP hein, pas toutes non plus c’est selon les marques.
Déjà, mettre une caméra chez soi… Quand on le lisait dans 1984, « mais c’est de la science-fiction ! »…
Très bon article !
Petites coquilles :
« créaient plus d’insécurité qu’ils n’en créaient » (Tournure un peu bizarre)
« ou donner un accès disant à son créateur ou diffuseur. » (distant)
Merci pour cette lecture instructive
Un blog de plus à mes favoris !
Moyen de maitrise des fluxs numéro 1:
http://www.leshop.ch/images/ProductsBig/81159.JPG
Moyen de maitrise des fluxs numéro 2:
http://mslk.com/reactions/wp-content/uploads/2007/11/moxie-pink-packs1.jpg
Citation d’emma laprince:
« Feeling fresh, feeling nice » « girls girls »
Hadopi c’est juste un gros fake pour faire de la com’, rien d’autre
Bref, Hadopi est un placebo, un pansement pour une industrie du divertissement qui a peur d’évoluer
…et un moyen de de casser la liberté des gens et de promouvoir la surveillance
… ce qui en fait davantage qu’un gros fake, donc. C’est juste leur brouillon, mais les idées orribles derrière restent les mêmes.
+h
mais je persiste, c’est aussi un gros fake :p
Sympa et pleins de choses vraies, mais boudi, qu’est ce que c’est pas clair! C’est louable de pas avoir été trop technique, mais les gens risquent d’être perdus quand même.
Je passe sur la métaphore du second amendement, qui, à a défaut de pas être choquante, n’est pas non plus très pertinente.
clair que dans un pays de pionniers (et d’indien un peu enervé), l’usage d’arme a feu est un peu plus comprensible que chez nous.
Et pourquoi ils sont énervés les indiens? Quoi qu’on dise les pionniers ont toujours raison avec leur gros calibre accroché au ceinturon.
Oui, mais si tu etais un americain au far west, je pense que me dirais que toi, tu n’as rien fait et qu’il faut bien que tu te defendes.
Mets toi à la place des autres :p
Mais bon, on devient hors sujet…
Je pense que si certains veulent des armes, c’est parce que ca rappelle leur coté pionnier qui doit faire parti de leur identité.
Passons, sur le fait qu’il y a plus d’animaux sauvages que chez nous (pas d’ours, pas de puma, ni meme d’araignés violonnistes et autres bestioles du genre).
On ne peut pas se comparer à eux.
Autre remarque sur les armes:
J’ai l’impression que c’est assez facile et assez profitable de harceler les gens chez nous, car les gens qui le font s’imagine que ca n’aura pas de consequence pour eux meme.
Bref, j’ai tendance à considerer les dives tuerie du genre colombine comme un change à donner pour eviter qu’on aille un peu trop facilement pousser des gens aux suicides (on oublie de faire le compte de ces morts la chez nous, ce n’est pas assez spectaculaire, probablement).
En france, on a vraiment les bonnes normes sociales pour asservir les gens:
- pas/peu de violence hypothetique (on ne risque pas grand chose à faire criser les gens).
Le harcelement est la reponse logique au bannissement de la violence.
Je ne suis pas sur à 100% que celà soit mieux.
- faible mobilité professionnelle (si tu n’as pas les diplomes qui faut, tu ne travailles pour ainsi dire pas)
et chomage elevé.
on peut donc mettre la pression aux gens, qui sont dependant de leur travail.
- emission de télé qui explique qu’on ne peut rien faire ou pas grand chose (suggere une methode au harceleur potentiel).
Je dirais aussi, qu’il semble que dans certaines regions des etats unis, les crimes sont peut nombreux, parce que si ca pete, ca risque de degenerer et que les gens l’ont à l’esprit.
Etre contre les armes, c’est plus un parti pris idéologique, que réellement une évidence politique.
très bon article vraiment,
mon passage préféré étant le diagramme d’incongruité spatio-temporelle, un pur bijou.
hadopi c’est fini.
D’abord c’était un FAKE énorme, j’en suis la preuve vivante car j’ai jamais autant téléchargé que depuis que ça existe, surtout en p2p.
Ensuite ils sont tous sur la sellette (expression du XIIIème siècle, ça c’est de la culture) à cause de l’élection qui arrive.
VOUS POUVEZ TOUS RE-TELECHARGER COMME DES OUF !!!!!
A force de promettre des trucs, on aura peut-être droit à un référendum sur le maintien Hadopi… qui sait ?
xD
« mais une mauvaise solution cherchant à remédier à un mal inexistant » Autrement dit, c’est une mauvaise réponse à une mauvaise question.
Je mets volontairement de côté un des aspects « politiques » (fric et contrôle de la population contre liberté d’échange). Et j’en viens à un autre (qui finalement le rejoint) : si c’est si facile de berner le peuple qui n’aurait pas sécurisé sa connexion internet, c’est probablement parce que le dit peuple ne dispose d’aucune éducation au numérique (technique et philosophique). Et quand on voit que l’éducation au net commence par « Les dangers de l’internet » (cf http://gingko.neottia.net/ pour plus de lectures éclairantes), on n’est pas étonné de l’angle d’attaque pris par Hadopi. Alors, oui un VPN, mais oui aussi renforcement du maillon faible par son éducation. Je serais geek, je commencerais par là (l’éducation), même si la sécurité des systèmes est un vrai métier, et non pas par la solution technique (pas vraiment clé en main).
Bref, apprendre à pêcher le poisson, plutôt que de lui apporter tout cuit.
J’ai beaucoup ri en lisant l’organigramme de l’image, beaucoup moins en lisant un certain nombre de pages liées dans cet article.
Une question, comment relier cette partie:
« Un VPN chiffré (le maillon fort)
Un cerveau (le maillon faible, car comme le dit l’adage « there’s no patch against stupidity ») »
à cette autre http://bit.ly/cAqD8i, trouvée dans cette page citée dans le présent article, http://bluetouff.com/2010/06/26/hadopi-la-negligence-caracterisee-definie-dans-un-decret-dapplication ? ( sous «Réponse B : me payant un VPN chiffré SSL ?»). La méthode présentée dans ce fichier pdf, si elle est effective… n’y a-t-il pas un gros ‘?’