Journal d'investigation en ligne et d'information‑hacking
Édito
par bluetouff

HADOPI : la genèse d'un failware

Hier, les Labs de l'HADOPI rendaient public un appel à expérimentations concernant les mal nommés « moyens de sécurisation ». Je souhaitais donner un écho un peu moins technique, plus vulgarisateur, à ce billet publié sur mon blog.

Hier, les Labs de l'HADOPI rendaient public un appel à expérimentations concernant les mal nommés « moyens de sécurisation ». Je souhaitais donner un écho un peu moins technique, plus vulgarisateur, à ce billet publié sur mon blog. L'exercice n'est pas spécialement simple car passé le ton cynique et dérisoire que m'inspire le simple terme « moyens de sécurisation » dans ce contexte précis, il me semble important que tout le monde prenne bien conscience de la supercherie que revêt l'attribution à l'HADOPI de cette disposition du texte de loi. Les mots sont forts, ils fâcheront certainement quelques personnes que j'apprécie par ailleurs... mais désolé, c'est vraiment plus fort que moi, je ne peux pas laisser passer ça, je ne l'ai jamais fait et je ne le ferai jamais. Le présent article est long, j'en suis désolé. Mais prenez le temps de le lire jusqu'au bout et de suivre les liens. Vous ne devriez pas le regretter. Son objectif est de vous expliquer pourquoi, même si par miracle un jour, sur une autre planète, dans une dimension parallèle, l'HADOPI finissait par accoucher d'une solution logicielle de « sécurisation », il ne faudra jamais, jamais... jamais l'installer sur votre machine.

Le mauvais timing

A l'origine, il faut bien comprendre que l'HADOPI ne devait entrer dans sa phase répressive qu'une fois l'offre légale satisfaisante, et qu'une fois des moyens de sécurisation d'accès Internet mis à disposition des Internautes. C'est du moins ce qu'une application « honnête » de cette loi aurait dû proposer. Mais la réalité a vite ramené le législateur sur terre, plongeant la Haute Autorité dans une belle merde... subtile application. La subtile application de la risposte graduée fait qu'aujourd'hui HADOPI transmet des dossiers d'internautes aux tribunaux, alors que l'offre légale est toujours inexistante, alors que les « moyens de sécurisation » ne verront probablement jamais le jour... et il vaudrait mieux, vous allez vite comprendre pourquoi.

Deux infractions pour le prix d'une

La Haute Autorité, pressée par les ayants droit, a bien dû se résoudre à envoyer ses emails de « recommandation » qui recommandaient aux internautes flashés par TMG de « sécuriser leur accès Internet » sans expliquer comment. Pourquoi un mail de «  _recommandation » ? Tout simplement car le délit retenu dans le cadre du processus de riposte graduée n'est pas le délit de contrefaçon, mais la _« _ négligence caractérisée » dans la sécurisation de l'accès à Internet, une négligence qui a conduit à l'utilisation présumée frauduleuse de la connexion Internet d'une personne dans le but de télécharger illégalement une oeuvre de l'esprit. On peut  en déduire que toujours dans le cadre de la riposte graduée, ce délit de _« négligence caractérisée » devient caractérisé lorsque le même internaute se fait reflasher par TMG une seconde fois : il reçoit alors un courrier recommandé de mise en garde l'invitant à sécuriser son accès Internet... recommandé qui évidemment n'explique toujours pas comment faire. Ultime étape, nous dirons que la négligence devient « caractéristique » (à l'image de certains sites gouvernementaux) quand notre internaute partageur ou négligent, voit son dossier transmis à la justice après s'être fait flasher une troisième fois par nos cowboys de test négligents du Net... aka TMG. Quand on vous claironnait qu'HADOPI c'était de la pédagogie et que cette loi visait à dépénaliser la contrefaçon sur Internet... on vous mentait ! Le délit de contrefaçon est toujours de rigueur et les internautes qui ont vu leur dossier transmis à la justice, en plus d'une amende de 1500 euros et d'une coupure de leur accès Internet, encourent toujours une action en justice des ayants droit pour contrefaçon. Et la bonne nouvelle pour les ayants droit, c'est que vu que ce sont eux qui mandatent TMG pour constater les infractions et que ce sont nos impôts qui vont financer leur identification, ils ont entre leurs mains une petite milice privée sponsorisée par des deniers publics pour identifier des internautes, les balancer à l'HADOPI, et se les finir devant un tribunal, mais cette fois... pour contrefaçon.

De l'incongruité spatiotemporelle

En pratique, les ayants droit se fichent bien de ces moyens de sécurisation. L'HADOPI est donc une loi censée créer assez de peur d'une sanction financière (la négligence caractérisée est une contravention sanctionnée par une amende pouvant aller jusqu'à 1500 euros),  afin de dissuader les internautes de partager la culture.

C'est donc  trois ans et quatre mois après le vote d'HADOPI  que les « moyens de sécurisation » refont surface. Entre temps il y a eu une sorte de gouffre spatio-temporel sur lequel nous n'allons pas revenir, ce serait bien inutile. La publication des Labs  disponible ici, vise à préparer le terrain à l'écriture de spécifications fonctionnelles de moyens, sur le papier, permettre à l'internaute une certaine sérénité. Mais il n'en est rien. Si vous ne comprenez pas comment au bout de 3 ans et 4 mois nous en sommes seulement à l'écriture du post-it pré-spécifications, je vous propose de visualiser tout ça sur ce use case d' « extreme programming augmenté »®

 

Cliquez sur l'image pour l'agrandir

With courtesy of L.A.R.A.C.H.E

Vous installeriez un logiciel de sécurisation dont l'écriture de la version Béta2 du post-it servant à la pré-écriture des spécifications a pris 3 ans et 4 mois alors que le virus spammeur est déjà en production depuis 2 ans ?

Les chiens ne font pas des chats

Confier à l'HADOPI, investie d'une mission de surveillance et de répression, la mission de sécuriser un accès Internet est une bien bonne blague. On trouvait ça amusant au début, mais très franchement, 3 ans et 4 mois après la promulgation de ce texte ni fait ni à faire... on va finir par trouver ça ridicule. En aucun cas, la Haute Autorité ne sera en mesure de produire un logiciel dont la finalité ne peut être avouée dans ses spécifications puisqu'elle n'est déjà pas si claire que ça quand on mesure le décalage entre le texte, son application, et la communication faite autour. Attention, nul besoin ici de parler de flicage de masse. Le document est assez clair sur un point : c'est bien l'internaute qui a les pleins pouvoirs sur ce qu'il va filtrer ou non, et non les fournisseurs d'accès sur ordre des ayants droit. Le problème est avant tout sémantique.

Le texte de loi Internet et Création a été voté pour venir en aide à une industrie qui connaît une grave crise (NDLR : krkrkr....), une très grave crise (NDLR : hihihihih...), la culture allait mourir si « grâce à notre président Nicolas Sarkozy » n'était pas intervenu. Grâce à HADOPI, le piratage a baissé de 35%! (NDLR :  hahahahahaha...).

Comment ça on vous prend pour des cons ? Nooooooon ... même pas vrai.

Nous sommes donc en face d'un texte qui s'appuie sur des constats mensongers pour légitimer des subventions publiques déguisées à une industrie qui se porte très bien. Franchement, comme argument pour vous faire installer un logiciel sur votre ordinateur, on aurait pu trouver mieux non ?

Un peu plus qu'une erreur sémantique, une tromperie

Aujourd'hui, ça ne choque plus grand monde d'entendre parler de vidéo-protection en lieu et place de la vidéo-surveillance. Sauf que théoriquement (je dis bien théoriquement), une caméra dans un lieu public n'offre pas au monde vos données personnelles. En revanche, parler de sécurisation là où il est question de surveillance de l'accès Internet est bien plus pernicieux. La sécurisation d'un accès Internet implique bien trop de choses pour que les éditeurs de logiciels de sécurité eux-mêmes parviennent à des résultats réellement satisfaisants. Comme nous nous sommes ici fixé pour objectif de ne pas employer de vocabulaire technique, sachez simplement qu'il faut deux choses sur Internet pour assurer la sécurité de vos communications et de votre patrimoine informationnel et que ces deux choses sont à utiliser conjointement, sous peine d'avoir l'air très vite un peu con :

  • Un VPN chiffré (le maillon fort)
  • Un cerveau (le maillon faible, car comme le dit l'adage « there's no patch against stupidity »)

En entreprise, une politique de sécurité, même musclée, n'est pas toujours en mesure d'éviter des infections virales, des accès frauduleux, des fuites de données. C'est pourtant la mission que s'est fixé le texte de loi Création et Internet : fournir un logiciel aux internautes leur permettant de prouver leur bonne foi en cas de détection par TMG d'un téléchargement illicite. Une mission impossible attendu que vous vous doutez bien que si ce type de logiciel servait vraiment à quelque chose, de nombreux éditeurs s'en mettraient plein les fouilles avec.

Le fondement même de tout l'édifice, l'adresse IP que relève TMG sur les réseaux peer to peer, n'a pas encore de statut clair concernant sa valeur probatoire. Il faudra bien un jour y passer, manque de bol HADOPI retarde tout ça pour des cas bien plus graves et dramatiques que le téléchargement du dernier Lady Gaga. On prendra par exemple ce cas, d'un virus qui télécharge des images pédopornographiques à l'insu de la victime. Pensez-vous qu'un juge invoquera HADOPI pour expliquer à la victime accusée à tort de détention de matériaux pédopornographiques qu'il est coupable de négligence caractérisée et qu'il n'avait qu'à « sécuriser son accès Internet » ?

Mais revenons un instant à notre erreur sémantique. Ce qui est défini comme un « moyen de sécurisation d'accès Internet » dans notre post-it en pdf de la pré-version des spécifications fonctionnelles n'est ni un antivirus, ni un firewall, ni une solution de contrôle parental, ni un système de détection d'intrusion. On sait juste que ce sera une « nouvelle génération de logiciel » dont on ne sait pas du tout ce qu'il va faire si ce n'est filtrer l'accès à certains sites web ou certains protocoles, deux actions que quasiment toutes les « box » des fournisseurs d'accès font déjà ou pourraient faire moyennant une centaine de lignes de code. Le document des labs le qualifiera donc de Moyen de Maîtrise des Flux (MMF).

Wait... Créer un logiciel qui bloque l'accès à des sites et des protocoles ? 3 ans et 4 mois pour accoucher de ça... un « MMF »... soit un peu plus d'un an par  lettre. A ce rythme, la première implémentation du logiciel devrait être accessible au  public d'ici 12 à 15 millénaires.

Vers un remède pire que le mal

En sécurité informatique, comme dans bien d'autres domaines, les pires choses partent souvent de bonnes intentions. L'idée n'est pas ici de dénoncer un mauvais remède à un mal réel, mais une mauvaise solution cherchant à remédier à un mal inexistant, et j'ai malheureusement tendance à penser que c'est encore plus grave.

Je tiens à présenter mes excuses à l'avance pour la comparaison qui va suivre qui ne manquera pas d'en choquer certains, mais ce projet est pour moi tout à fait comparable au deuxième amendement de la Constitution américaine relatif au droit à la détention d'armes à feu. Sous prétexte d'assurer une protection, on place dans sa sphère privée un logiciel qui ne sert à rien, qui sera la cible d'attaques, pouvant mener à des compromissions majeures et massives. Nous en avons d'ailleurs déjà eu un exemple direct avec le premier logiciel soit disant compatible HADOPI édité par Orange et vendu sur abonnement qui distribuait aux quatre vents les adresses IP et sites visités en temps réel des bons gogos qui avaient souscrit à cette offre par peur bleue d'HADOPI... un épisode tragicomique qui sera appelé à se répéter, encore, encore et encore tant qu'une institution parfaitement illégitime dans une mission de « sécurisation des accès Internet » tentera, par un logiciel, de répondre à une problématique d'usage inexistante. Ce logiciel ne vous sécurisera pas, il visera juste à vous interdire un usage du Net, le partage de la culture. Ne soyons pas crétins, refusons la prohibition culturelle, refusons le port d'arme... refusons ce « MMF ».

« La plus grande réussite du diable est d'arriver à faire croire qu'il n'existe pas »

Pour conclure, sachez que la neutralisation d'un logiciel de sécurité, c'est l'objectif numéro un de tout intrus. Pas une solution logicielle n'y a échappé, pas même les systèmes de détection d'intrusion qui à une époque, pour certains, créaient plus d'insécurité qu'ils n'en apportaient. Vous devinez ce qu'est la première chose que fait un bon virus ? Il neutralise les antivirus, de préférence à l'insu de la victime, puis il neutralise les parefeu afin de télécharger ses mises à jour, muter, ou donner un accès distant à son créateur ou diffuseur. Un scénario d'intrusion réussie vise à instaurer une menace persistante.

Pour tous les arguments précités dans cet article, sachez que l'installation d'un « MMF » ne représente qu'une seule chose : une menace supplémentaire, pouvant conduire à de véritables catastrophes.

A ce jour, HADOPI n'a produit que de l'insécurité, n'attendez surtout pas qu'il en sorte quelque chose qui vous protègera.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée