La loi dite « HADOPI » a été votée il y a quelques jours, et ne devrait donc pas tarder à être mise en application. Les principes techniques sous-jacents étant assez complexes, il me semble naturel de vouloir les clarifier un minimum, ne serait-ce que pour permettre à tous les internautes de comprendre de quoi il s’agit exactement.
10/06/2009 : le conseil constitutionnel renvoie la loi devant le parlement. Il faut donc voir comment elle sera modifiee.
Par ailleurs, je vais tâcher de rester neutre: cet article n’a pas vocation à parler de politique, de droits de l’homme ou de présomption d’innocence, ni de l’efficacité technique ou juridique de cette loi pour endiguer le piratage.
D’abord, résumons ce qu’il faut expliquer:
La loi HADOPI crée un organisme qui, lorsqu’on lui signale que votre adresse IP a été utilisée pour télécharger illégalement un contenu protégé, a les moyens légaux de couper votre connexion internet.
Il y a plein d’autres choses dans cette loi, mais l’essentiel d’un point de vue technique peut être résumé de la sorte.
La communication entre ordinateurs
Lorsque deux ordinateurs communiquent entre eux, ils s’envoient des messages. Ces derniers quittent l’ordinateur expéditeur par un câble (ou des ondes sur un réseau sans fil) et passent par un certain nombre d’intermédiaires avant d’atteindre enfin l’ordinateur destinataire. Pour pouvoir aiguiller un message vers le bon destinataire, les intermédiaires ont besoin de pouvoir identifier celui-ci.
En utilisant pour les messages la métaphore de la lettre envoyée par la poste, le protocole internet, qui définit les modalités de la communication entre ordinateurs sur internet, propose d’attribuer à chaque ordinateur d’un réseau une adresse appelée Internet Protocol Address, qui a été rapidement abbréviée en IP Address.
Sa traduction française est, de façon peu surprenante, adresse IP.
Chaque ordinateur connecté à un réseau dispose donc d’une adresse IP, et chaque message envoyé sur un réseau contient l’adresse IP de son destinataire. Pour recevoir des données depuis Internet (y compris, donc, télécharger illégalement du contenu protégé) il faut disposer d’une adresse IP à laquelle ces données seront envoyées.
Le scénario idéal
Un internaute utilise son adresse IP pour télécharger illégalement du contenu protégé sur Internet. Un organisme assermenté et autorisé le remarque, et le signale à la Comission de Protection des Droits (CPD) créée par cette loi. La CPD peut alors identifier l’internaute, lui envoyer des avertissements et, s’il persiste, demander à son fournisseur d’accès de couper sa connexion Internet.
Pour des raisons techniques, ce scénario idéal ne correspond pas exactement à la réalité. Ces différences sont subtiles, mais essentielles à la compréhension de la loi.
Problème: les Chevaux de Troie
Un Cheval de Troie est un logiciel installé sur un ordinateur à l’insu de son propriétaire, et qui permet au créateur du logiciel de contrôler à distance l’ordinateur qu’il a infiltré.
Pour les internautes capables d’utiliser un Cheval de Troie, il est très simple de télécharger illégalement du contenu protégé sans aucun risque: on demande à l’ordinateur infecté de télécharger le contenu, puis de l’envoyer sous un format crypté à l’ordinateur du créateur.
Du point de vue de la CPD, l’adresse IP du créateur n’a reçu que des données cryptées. Impossible de prouver qu’il y avait du contenu protégé dans ces données: le créateur ne risque rien.
En revanche, l’ordinateur infecté a utilisé son adresse IP pour télécharger le contenu: la CPD est alors en droit d’avertir son propriétaire et, à terme, de le priver de sa connexion Internet.
Problème: les adresses partagées
En général, un fournisseur d’accès à internet ne fournit à chaque client qu’une seule adresse IP. Souvent, le client souhaite partager sa connexion Internet entre plusieurs ordinateurs: par exemple, sa famille, ses colocataires ou ses collaborateurs. Lorsqu’un message destiné à son adresse IP arrive chez le client, comment l’aiguiller vers le bon ordinateur?
La solution est d’utiliser un routeur: une machine qui se fait passer pour le destinataire de tous les messages envoyés à l’adresse IP. Le routeur dispose d’assez d’informations sur les communications entre les ordinateurs et internet pour arriver à détecter quel message est destiné à quel ordinateur.
De plus en plus souvent, lorsque l’on souscrit à un abonnement Internet, on reçoit un routeur permettant de connecter plusieurs ordinateurs à Internet par câble ou sans fil en utilisant le même abonnement. Pour un utilisateur ayant des compétences techniques suffisantes, des logiciels adaptés et un peu de patience, se connecter à un réseau sans fil est possible même s’il est protégé. Cet utilisateur pourra donc utiliser l’adresse IP d’un réseau sans fil proche pour télécharger illégalement du contenu protégé, sans que jamais sa propre adresse IP ne soit incriminée.
Conséquences
Admettons qu’on puisse déterminer qu’une adresse IP a été utilisée pour télécharger illégalement du contenu protégé. Le coupable peut être le propriétaire de l’adresse IP, mais il peut aussi s’agir d’un membre de sa famille, d’un colocataire, d’un collaborateur, d’un pirate ayant installé un cheval de troie sur son ordinateur, ou un voisin ayant fait effraction dans son réseau sans fil. Qui doit-on punir?
Ce dilemme a été résolu par la loi DADVSI: depuis 2006, le propriétaire d’une adresse IP a l’obligation de surveiller celle-ci de façon à ce qu’elle ne soit pas utilisée pour télécharger illégalement du contenu protégé. Et la Commission de Protection des Droits ne punit pas le téléchargement illégal, mais le non-respect de cette obligation de surveillance.
Pour résumer, si un voisin, un colocataire, un collaborateur, un pirate ou un membre de votre famille a utilisé votre connexion internet pour télécharger illégalement, vous n’êtes bien évidemment pas coupable de téléchargement illégal de contenu protégé, mais vous êtes coupable de ne pas avoir surveillé votre connexion internet: vous êtes donc une cible potentielle de la CPD.
Comment se protéger?
Pour être bref:
- Il ne faut pas télécharger illégalement du contenu protégé.
- Il faut toujours garder ses logiciels à jour—les chevaux de Troie utilisent des failles dans les logiciels pour s’introduire sur un ordinateur, et les mises à jour logicielles ont pour premier objectif de combler ces failles.
- Il ne faut jamais exécuter un programme s’il ne vient pas d’une source de confiance. Attention, une personne bienveillante mais qui n’est pas techniquement compétente peut envoyer un programme dangereux sans s’en rendre compte!
- Il faut demander à sa famille, à ses colocataires et à ses collaborateurs de ne pas télécharger illégalement du contenu, et si besoin mettre en place des solutions de filtrage pour éviter tous les risques.
- Il faut régulièrement inspecter son ordinateur avec des outils (anti-virus, anti-spyware) pour détecter les chevaux de troie qui ont quand même réussi à passer et les supprimer. Contrairement aux virus et spyware traditionnels, les chevaux de troie n’infligent pas de dégâts visibles au système: leur objectif est de rester cachés aussi longtemps que possible.
- Il faut protéger son réseau sans fil avec une clé (ou le couper, si on ne l’utilise pas). Il faut changer la clé régulièrement, et surveiller le journal de connexions pour s’assurer qu’il n’y a pas d’intrus connecté.
Ces responsabilités vous incombent depuis la loi DADVSI en 2006, et sont passibles de coupure internet depuis 2009 si vous ne les assumez pas.
Mais malheureusement, cela ne suffit pas. Même en supposant que vous avez n’avez pas de routeur, que vous utilisez un ordinateur sans cheval de troie auquel vous seul avez accès, et que vous ne téléchargez jamais rien illégalement, il y a quand même des risques possibles—ils ne sont pas avérés, car ils dépendent des précisions techniques qui seront fournies par le décret d’application concernant la manière de déterminer si une adresse IP a téléchargé illégalement du contenu protégé.
Risque : le vol d’adresse IP
Une manière possible de détecter le téléchargement illégal est de surveiller qui demande les données. Par exemple, le système de partage de ficheirs BitTorrent fonctionne en donnant aux utilisateurs un point de rencontre où ils peuvent signaler « je veux ou je propose ce fichier » en laissant une adresse IP où on peut les contacter. Il suffirait alors de surveiller cette liste pour savoir qui distribue ou télécharge le fichier.
Le problème, mis en avant par deux chercheurs américains [pdf], est qu’un individu malveillant peut mettre dans ces points de rencontre l’adresse IP d’un innocent. Tout comme vous ne pouvez pas empêcher quelqu’un d’écrire votre numéro de téléphone dans les toilettes publiques, vous ne pouvez pas empêcher quelqu’un d’associer votre adresse IP à du contenu protégé.
Ceci est un risque à la fois pour les utilisateurs (si l’un des organismes assermentés utilise cette méthode, on peut être innocent et accusé à tort par malveillance d’un tiers) et pour les organismes assermentés (si un informaticen paresseux ou incompétent utilise cette méthode de détection, ils risquent d’être humiliés, voir sanctionnés, lorsque la faille leur méthode sera publiée).
Risque : les fichiers piégés
Il peut ne pas être évident pour un utilisateur que le fichier qu’il s’apprête à télécharger est protégé, et donc que son téléchargement sera illégal. En général, ce qu’un utilisateur voit d’un fichier avant de le télécharger, c’est son nom. Supposons qu’un pirate distribue en ligne le dernier tube de Florent Pagny, sous le nom BibleGutenberg.pdf.
Si le téléchargement du fichier BibleGutenberg.txt n’est pas sanctionné par la CPD, la loi peut être contournée en donnant à chaque fichier un nom différent. La trilogie du Seigneur des Anneaux deviendra un noyau Linux, le dernier épisode de Naruto sera un album de photos de vacances et Florent Pagny restera la bible de Gutenberg. Le téléchargement illégal de contenu protégé continuera, certes avec plus de subtilité, mais néanmoins impuni.
Si le téléchargement du fichier BibleGutenberg.pdf est sanctionné par la CPD, alors un utilisateur innocent qui de bonne foi le télécharge pour se rendre compte que ce n’est pas ce qu’il cherchait (et ne sait même pas que s’il renommait BibleGutenberg.pdf en .mp3 il aurait un tube de Pascal Obispo) sera sanctionné par la CPD. Tous les fichiers deviennent un risque potentiel.
Le néophyte pourra penser qu’il suffit de ne jamais télécharger de fichier, ou alors de ne télécharger que des fichiers depuis des sites de confiance. C’est faux.
Un utilisateur malveillant peut vous envoyer un courrier avec BibleGutenberg.pdf en pièce jointe. Lorsque vous vous connecterez pour lire votre courrier, celui-ci sera téléchargé sur votre ordinateur et vous serez coupable.
Un autre danger est que les explorateurs web téléchargent automatiquement les images qu’ils rencontrent sur les sites web. Par exemple:
Vous voyez probablement un carré vide. C’est normal: ce que votre ordinateur vient de télécharger (sans votre accord) n’est pas une image, mais du Schubert. Pour cela, j’ai menti à votre ordinateur en lui disant “ceci est une image”, et il m’a cru sur parole. N’importe quel auteur de site web peut vous faire ça.
Si ça avait été du Florent Pagny, vous auriez été coupable.
Et comme on ne peut pas savoir si le contenu est protégé avant de l’avoir téléchargé, il n’existe aucune solution technique pour se défendre: on ne peut pas empêcher les internautes d’envoyer des données à votre adresse IP, pas plus qu’on ne peut empêcher les gens d’envoyer du courrier à votre adresse postale.
Le « mouchard »
En l’absence de solution technique, le ministère propose une solution légale: vous utilisez un logiciel qui, par des moyens techniques actuellement inconnus, jette à la poubelle tous les fichiers téléchargés illégalement sur votre ordinateur. Ce logiciel prévient la CPD que votre ordinateur se trouve dans l’incapacité technique de conserver du contenu protégé s’il a été téléchargé illégalement, et celle-ci sait alors que même si elle constate des téléchargements illégaux depuis votre adresse, vous êtes innocent.
Cela a le mérite d’être une solution au problème ci-dessus: vous êtes protégés contre le contenu qui arriverait illégalement sur votre ordinateur contre votre volonté, et vous êtes même protégé lorsqu’un autre ordinateur utilise votre adresse IP pour faire du téléchargement illégal!
La contrepartie est qu’un logiciel devra alors surveiller toutes les données que vous recevez depuis internet, y compris donc votre courrier électronique ou les sites que vous visitez, de la même façon qu’un anti-virus. La différence avec un anti-virus est que ce logiciel est conçu pour communiquer avec l’extérieur (condition sine qua non pour que la CPD soit certaine de son fonctionnement). Ce comportement (lecture de toutes les données, communication avec l’extérieur) est à l’origine du surnom du logiciel: le mouchard.
En savoir plus
10/06/2009 : j’ai mis en ligne une FAQ relative aux côtés techniques de la loi Création Internet.
Hi. I'm Victor Nicollet,
Victor,
Je te propose de réfléchir à une alternative technique.
Admettons que l’on puisse placer un admin réseau pour 10 000 utilisateurs, ce technicien aurait pour rôle de créer des outils de surveillance, de prévention et d’identification des flux de contenus illégaux qui circulent sur les machines des utilisateurs dont il a la charge.
Admettons que ce technicien soit compétent et motivé par son job, ne crois-tu pas qu’il pourrait sans trop de difficultés arriver à limiter les flux de contenus illégaux ?
On parle beaucoup de cryptage, qui crée l’impossibilité de la preuve, je pense que l’analyse du trafic (débit, fréquence) ainsi que la “réputation” des sites sources peuvent être maintenus et analysés avec une certaine efficacité.
Encore une fois, pas besoin d’un résultat absolu.
Qu’en penses-tu en tant que spécialiste ?
Merci, je n’étais pas au courant de tous les détails, notamment du mouchard.
1. Je ne vois pas comment techniquement on peut faire un mouchard logé chez le client dont on est certain du bon fonctionnement. Par exemple, il sera sans doute facile de lui faire croire qu’il a arrêté un téléchargement alors qu’en fait celui-ci continue toujours.
2. Ce mouchard sera-t-il disponible pour tous les systèmes d’exploitation (disons communs) ?
@Stephane
Le cryptage, bien fait, cache le site d’origine des donnees. Dans ce genre de cas, la seule donnee dont tu disposes, c’est le debit en fonction du temps. Si tout le monde utilise le cryptage, et que des gens se mettent a telecharger legalement de grosses quantites de donnees “pour le plaisir”, tu ne peux plus departager efficacement les transferts legaux des transferts illegaux.
Dans la situation actuelle, mettre en place le systeme que tu proposes aurait l’effet immediat de beaucoup reduire le piratage, qui remonterait progressivement au fur et a mesure que les gens decouvrent la solution crypto + chaff pour brouiller l’administrateur.
@Mehdi
Je sais que le mouchard ne pourra pas etre infaillible. Sais-tu empecher ton antivirus de desinfecter un fichier? Je ne doute pas que, etant informaticien, tu finisses par trouver une solution, mais cela te prendra du temps. Mais si tu es informaticien, je ne pense pas que tu sois la cible de la loi HADOPI : le plus efficace contre le piratage est, a mon sens, d’augmenter la difficulte de 1% pour eliminer les 50% de la population les moins competents en la matiere.
La question du logiciel libre, que je devine dans ton commentaire, est plus logique que technique. Le logiciel libre, c’est “je veux etre libre d’utiliser mon ordinateur comme je veux”. Le mouchard, c’est “je renonce a ma liberte de tout telecharger, et en echange je suis a l’abri de poursuites”. Par nature, les deux discours sont incompatibles: un mouchard libre ne peut pas a la fois laisser toute liberte a l’utilisateur et restreindre la liberte de telechargement de l’utilisateur.
L’impossibilite de restreindre sa liberte est une limite du logiciel libre par rapport au logiciel proprietaire.
La question est de savoir si le legislateur peut imposer la restriction de la liberte (cela rend le logiciel libre illegal), s’il peut la rendre tres avantageuse (cela rend le logiciel libre tres desavantageux), ou s’il doit toujours s’assurer que l’utilisateur reste libre et maitre de son ordinateur. Et c’est une question politique, pas technique.
Victor,
L’autre difficulté du projet de loi HADOPI tient à sa conformité à l’article 6 paragraphe 1 de la Convention européenne de sauvegarde des droits de l’homme, qui prévoit un droit au recours efficace.
Or, la loi dispose que ce recours peut être exercé dans les six mois suivant la réception du premier message, par mail, d’avertissement. Comment distinguer un message venu de l’HADOPI d’un autre ? Comment le reconnaître parmi les spams ? N’y a-t-il pas un risque que le pirate, le cas échéant, ait prévue une destruction automatique de ces messages s’il a pris connaissance du mot de passe ?
Autant de questions techniques qui remettent en doute la validité de la procédure HADOPI.
@Philippe
Je ne suis pas juriste, donc la question du recours m’echappe quelque peu. J’aurais tendance a dire que si faire courir le delai a partir de la date d’envoi du premier mail est en contradiction avec la constitution ou un traite international, le conseil constitutionnel ou le juge exerceront leur competence a ce sujet. Si ce n’est pas en contradiction, alors je suppose que la loi prend implicitement le risque que ce premier courrier n’arrive jamais a destination (et d’ailleurs, pirate ou non, il n’y a aucune garantie qu’un courrier electronique soit delivre a son destinataire). Mais c’est a mon sens une question juridique et non technique (la preuve: je ne sais comment y repondre
).
En revanche, il existe des moyens de signer les mails dont l’HADOPI (plutot la CPD, non?) peut se servir pour confirmer qu’ils viennent bien d’elle.
@Victor
C’est tout à fait vrai. Le risque serait que les juridictions françaises ne prennent pas le risque de censurer la loi HADOPI et que la question ne soit tranchée que dans plusieurs années par la Cour de Strasbourg, annulant des années de procédure.