Journal d'investigation en ligne et d'information‑hacking
par bluetouff

HADOPI et SCPP : Pourquoi et comment la situation peut dégénérer

Nous vous faisions part, hier, de nos inquiétudes face aux récentes déclarations de Marc Guez, président de la SCPP, sur 01Net. L'analyse de la situation a de quoi ne pas nous plaire. Hier, Numerama revenait également sur le cavalier législatif de Franck Riester, visant à permettre aux ayants-droit de demander un dédommagement. Pour rappel, cette disposition avait été censurée au Conseil Constitutionnel. Nous devrions la revoir passer dans l'hémicycle lundi prochain.

Nous vous faisions part, hier, de nos inquiétudes face aux récentes déclarations de Marc Guez, président de la SCPP, sur 01Net. L'analyse de la situation a de quoi ne pas nous plaire. Hier, Numerama revenait également sur le cavalier législatif de Franck Riester, visant à permettre aux ayants-droit de demander un dédommagement. Pour rappel, cette disposition avait été censurée au Conseil Constitutionnel. Nous devrions la revoir passer dans l'hémicycle lundi prochain.

Soyons clairs, cette disposition faisait partie du deal. Elle permettra certainement aux ayants-droit de se trouver un nouveau prestataire pour jouer les cowboys sur les réseaux P2P... mais ça leur coûtera de fait un peu plus cher. De quoi rappeler que la sécurité a un coût et que ce n'est pas en inscrivant dans la loi une contravention pour négligence caractérisée qu'on fait changer les choses. Et c'est justement de sécurité que nous allons parler.

Si vous avez attentivement lu notre précédent article, vous aurez compris que la SCPP, se faisant le porte parole des ayants-droit (c'est une tradition dans la profession, ce sont toujours les moins représentatifs qui s'expriment au nom de tous), trouvait que l'HADOPI n'était pas assez efficace. Les spécifications du logiciel de “sécurisation” sont pour l'instant très loin d'être satisfaisantes. Tout doit être repensé de A à Z, tant pour des raisons techniques, que d'acceptation par le grand public. Aujourd'hui, c'est un peu comme si on vous demandait d'acheter une caméra de vidéo surveillance municipale pour la placer dans votre salon. Mais ceci n'arrête pas la SCPP qui se déclare être en discussion avec des éditeurs pour faire sa propre solution... ce malgré la définition de spécifications d'une solution labellisée HADOPI.

Non seulement c'est gonflé, mais c'est aussi et surtout complètement suicidaire. La SCPP va se faire embobiner par des marchands de sécurité à 5 euros par mois qui vont lui garantir une solution 100% hadopiproof que tout le monde sait ici 100% pipeauwareet 200% failware, nous l'avons maintes fois prouvé... et nous continuerons à le faire.

Cependant, nous savons parfaitement ce que Marc Guez a derrière la tête. Ce filtrage "totalement volontaire" qu'il évoque pourrait se présenter sous deux formes (voire 3  si la SCPP tient vraiment à ce que nous ridiculisions son hardware) :

La première est la plus idiote, vous la connaissez tous, c'est celle du logiciel client, placé sur la machine des particuliers, un cheval de Troie piloté par la SCPP... un truc surréaliste.

La seconde, et nous nous doutons bien que c'est vers ce quoi s'orientent ces petits génies, c'est le Deep Packet Inspection en mode web service, proposé par votre opérateur, sur abonnement. A notre connaissance, Orange serait déjà parfaitement en mesure de proposer un tel service, nous l'avons d'ailleurs pris il y a plus d'un an la main dans le pot de confiture avec une offre Kindsight grâce à PCInpact. Pour 3 euros par mois, l'opérateur historique nous promettait de la "sécurité"... un terme qu'Orange confond allègrement avec surveillance, mais c'est très en vogue en ce moment.

Du côté d'SFR (Vivendi/Universal), techniquement, un tel dispositif est lui aussi parfaitement envisageable, son réseau présentant les points de centralisation lui permettant de placer correctement les équipements pour proposer ça à ses abonnés dégroupés. La maison mère, Vivendi,pour qui "la fibre optique ne sert qu'à pirater" se débrouillera bien en interne pour faire le nécéssaire.

Chez Numéricable, ce n'est pas non plus l'envie qui fait défaut. L'opérateur s'adonne déjà allègrement à diverses formes de bridage, de blocage par omission (un peu comme Orange avec Cogent), et d'injection RST sur les sites de direct download quand un lien pointe vers un CDN outre-atlantique. Oui mais voilà, Numéricable n'a techniquement pas le niveau, et même avec les modems backdoorés que l'opérateur distribue, la partie est loin d'être gagnée pour lui. Il hérite d'une infrastructure particulière, inadaptée pour la mise en place de ce genre de dispositifs. Même si le câblo opérateur dément officiellement toute expérience autour du DPI à des fins de filtrage de contenus, nos sources internes nous affirment bien le contraire. Disons que ca "trafic shape" avec beaucoup de zèle chez Numéricable.

Si vous êtes chez Free, vous pouvez encore dormir sur vos deux oreilles, d'après nos informations, l'architecture comme les équipements de Free ne permettraient pas de mettre en place le fantasme de la SCPP et Free n'a aucun intérêt à coopérer à sens unique avec la SCPP.

Presque tout ce petit monde est donc parfaitement disposé à suivre la SCPP, moyennant rémunération et avec la promesse de vendre plus de leurs propres contenus.

Dernier point, le Deep Packet Inspection a des fins de blocage des contenus ne peut être réalisé légalement qu'avec le consentement explicite de l'abonné.  Ces solutions devraient donc en toute logique être payantes et faire l'objet d'une majoration contractuelle de votre abonnement, ceci sera présenté comme un service de "sécurité", ne vous laissez donc pas piéger, il s'agit bien d'un dispositif intrusif qui ira lire vos communications et ne vous apportera strictement rien d'un point de vue de la sécurisation de vos données personnelles.

Maintenant que nous avons survolé ces aspects techniques, attaquons le vif du sujet. Le volet un peu plus technico juridique. Il a été confié à la Haute Autorité la mission de définir des spécifications d'un dispositif de sécurisation, permettant aux abonnés qui le souhaitent, de mettre en place une politique d'accès à Internet restrictive, interdisant l'accès à des contenus copyrightés. La SCPP, outrepassant cette attribution, a décidé de prendre les devants.  Première question : l'HADOPI pourra t-elle labelliser, comme le prévoit la loi, une solution développée par les ayants-droit eux mêmes ? En théorie oui. En pratique rien n'est moins sur, et si par malheur ceci lui effleurait l'esprit, elle s'exposerait aux foudres des internautes et se discréditerait définitivement. Le signal envoyé serait on ne peut plus néfaste, il entérinerait une Haute Autorité à la solde des majors, pas indépendante pour deux ronds... un véritable suicide dans les règles.

Autre petit détail que nous n'avons de cesse de rappeler à tous les gogos qui prétendent avoir des solutions compatibles HADOPI : les critères de labélisation sont encore très loins d'être spécifiés.

Les ayants-droit, de leur côté, grâce à des gens aussi géniaux que Christine Albanel, Franck Riester, Olivier Henrard, ou Muriel Marland Militello, pourraient bien nous jouer une sinistre farce. Souvenez-vous, les ayants-droit sont le commanditaire dela seule connexion coupée à ce jour : TMG, le cowboy intersidéral des internets qui collecte les adresses IP des internautes partageurs. Le fait d'être commanditaire leur octroie une interconnexion avec le système de collecte et la validation de la transmission des adresses IP à l'HADOPI. Cependant, à ce stade, les adresses IP sont anonymisées et théoriquement, les ayants-droit ne sont pas en position de savoir savoir si l'adresse IP xxx.xxx.xxx.xxx a bien souscrit à l'offre de Deep Packet Inspection à 5 euros par mois qu'elle propose. Il leur faudra donc la complicité des fournisseurs d'accès s'ils veulent by-passer l'HADOPI. Le problème ici, c'est que juridiquement, à notre connaissance, strictement rien ne les en empêche.

Revenons maintenant à une petite considération technique, de rien du tout. Les déclarations de Marc Guez visaient explicitement les sites de direct download comme Rapidshare ou Megaupload.  Petit détail à la con, ces sites passent par des CDN pour délivrer leurs contenus. Un CDN délivre des contenus pour de nombreux clients, éditeurs de contenus parfaitement légaux et surtout, des fournisseurs d'accès Internet. Les conséquences d'un sur-blocage (inéluctable) ne sont visiblement pas vraiment mesurées par la SCPP qui n'est déjà pas fichue de faire auditer TMG, provoquerait quelque chose de particulièrement drôle. C'est une bonne partie de l'Internet qui pourrait être rendu inaccessible et une grande quantité de contenus parfaitement légaux.

Tout ça pour vous dire une chose Monsieur Guez : concentrez vous sur une chose à la fois, commencez par vous trouver un autre prestataire "de test" pour la collecte des adresses IP, laissez à l'HADOPI les choses qui vous dépassent comme les moyens de "sécurisation" que la loi lui a confié, vous avez déjà pas mal affaire avec la mise en place de 3 pauvres scripts pour piéger les internautes avant de vous pencher sur ces problématiques techniquement bien trop complexes pour vous. Si les anti HADOPI que nous sommes doivent défendre la Haute Autorité devant vos fantasmes Orwelliens, nous le ferons. La HADOPI malgré tous ses défauts est une émanation d'une loi que vous avez voulu, aussi stupide soit cette dernière... et nous serons assez légalistes et joueurs pour faire en sorte que vous ne vous substituiez pas à elle pour nous servir votre modèle de société : la prohibition culturelle.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée