Vendredi 3 avril 2009, l’assemblée nationale a adopté la loi "Création et Internet", avec seulement 16 députés dans l’hémicycle. Pourtant ce texte risque, s’il est appliqué, d’apporter de profondes modifications au web français tel que nous le connaissons.
Cette loi instaure entre autres la "riposte graduée", qui en cas de téléchargement illégal, après l’envoi de 2 avertissements, prévoit la coupure de la connexion internet de l’abonné contrevenant. La plupart des arguments qui s’opposent à cette loi étant assez techniques, je vais tenter d’expliquer certains éléments de fonctionnement du net qui sont utiles pour les comprendres, puis j’aborderai point par point les éléments de la loi qui selon moi sont problématiques. J’essaierai également sur chaque point de montrer en quoi cette loi et d’ores et déjà inutile en montrant les différents contournements existants.
Accrochez vos ceintures et bienvenue dans le cyber espace !
Tout d’abord pour qu’il y ait sanction, il faut qu’il y ait constatation d’une infraction. Le système mis en place dans le cadre de l’Hadopi est souvent comparé au système de radar automatique sur les routes, où des points de contrôles sont placés sur la route, et tout automobiliste qui franchit ce point à une vitesse supérieure à la limite est "flashé" et reçoit une amende. Dans le cas d’une voiture, c’est la plaque d’immatriculation qui permet d’identifier le conducteur pour lui envoyer une amende. Cette plaque est censée identifier de manière unique chaque véhicule. Mais est-il possible d’identifier chaque ordinateur de manière unique pour que la sanction s’adresse à la bonne personne ? C’est là que l’IP entre en jeu.
L’IP (qui signifie "Internet Protocol") est en effet le point d’entrée sur la toile. Composée de 4 chiffres compris entre 0 et 255 (par exemple 192.168.0.1) elle est sensée identifier de manière unique chaque ordinateur, et correspond à l’adresse à laquelle une machine pourra être contactée (comme un numéro de téléphone). Pour prendre un exemple, lorsque vous vous connectez à un site web (par exemple www.jaimelesartistes.fr/), votre navigateur va d’abord aller récupérer l’adresse IP de la machine qui héberge le site, puis se connecter directement à cette machine grâce à son IP et récupérer les pages que vous avez demandées. L’adresse IP de jaimelesartistes.fr est 94.23.48.134, vous pouvez donc vous y connecter directement en rentrant cette adresse dans votre navigateur. Si vous voulez connaître votre adresse, allez sur ce site www.ip-adress.com, vous verrez qu’on peut vous localiser avec une précision déconcertante.
Chaque machine connectée doit donc avoir une IP unique, ce qui pose un premier problème puisque le nombre d’IP possibles est déjà inférieur au nombre de machines connectées dans le monde. Il va donc falloir procéder à des regroupements de machines pour que tout le monde puisse être connecté, c’est ce qu’on appelle des réseau locaux (où LAN). Par exemple, dans la plupart des entreprises, un réseau local est mis en place. Dans ce réseau, chaque machine a une IP qui n’est valable qu’au sein de l’entreprise (comme un numéro de téléphone interne). Pour accéder au web, toutes les machines de l’entreprise vont ensuite passer par une "passerelle", machine qui est directement connectée au web et qui va faire l’intermédiaire entre le réseau local et le réseau global (un peu comme une standardiste qui se chargerait de dispatcher les appels). Ainsi, une seule IP unique est nécessaire pour toute l’entreprise. La Box de votre fournisseur d’accès fonctionne exactement sur le même principe, une seule adresse IP unique pour toute la famille.
Vu de l’extérieur, tous les employés de l’entreprise et tous les membres de la famille ont donc la même IP. Hors, tout le système de sanction de l’Hadopi repose sur cette fameuse IP. Problème : si un seul salarié télécharge illégalement, c’est comme si toute l’entreprise avait téléchargé illégalement puisqu’il est impossible, vu de l’extérieur, de savoir qui est responsable. Même problèmes dans certains syndics qui partagent un accès internet communautaire : un seul résident télécharge illégalement et tout l’immeuble est fautif. On voit déjà une des failles béantes du système : avec le fonctionnement actuel du web (qui n’a jamais changé depuis sa création), la coupure de connexion internet va dans la plupart des cas être une punition collective.
Certes, les entreprises ne pourront normalement pas être coupées : elles seront obligées, à la place, de "sécuriser" leur réseau à leurs frais pour éviter que les employés puissent télécharger (donc soit brider le réseau pour interdire certaines fonctionnalités, soit surveiller la machine de chaque employé). On aperçoit déjà ce que risque de coûter Hadopi aux entreprises françaises... Les associations, elles, n’échappent pas à la coupure. Dans le cas du syndic c’est tout l’immeuble qui sera coupé, pareil pour la famille. Argument de Mme Albanel : "si on vous coupe internet vous pouvez toujours aller chez le voisin". Dans ce cas autant couper aussi l’eau et le gaz, on pourra toujours aller se doucher et se faire à manger chez le voisin...
Contournement :
Cependant, ce fonctionnement peut aussi être utilisé pour contourner le système de riposte graduée en permettant de masquer son IP : c’est ce qu’on appelle les réseaux privés virtuels (ou VPN). Grace à la magie de l’immatériel, il est possible de recréer le même type de réseau que dans une entreprise, à savoir plusieurs machines connectées entre elles sur le même réseau local (dit "privé virtuel" car en réalités les machines ne sont pas localisées au même endroit), et qui passent par une passerelle pour accéder au net.
Ainsi, toutes les machines du réseau privé virtuel vont prendre l’IP de la passerelle, et pourront donc surfer dans un parfait anonymat. Si cette passerelle est située à l’étranger, le droit français ne s’y applique pas et vous êtes tout bonnement intouchable par l’Hadopi. L’utilisation d’un VPN est très simple, puisqu’il suffit d’installer un petit logiciel sur son ordinateur. Ils sont souvent payants (5€ à 30€ par mois, même si certains sont gratuits : www.peer2me.com), sont légaux et vous permettent un surf totalement anonyme. Personnellement j’aurais préféré payer cette somme pour une licence globale. Le gouvernement veut du tout répressif, tant pis pour lui...
La chasse est ouverte : la collecte des IPs.
Nous avons vu que l’IP, contrairement à ce que pense le gouvernement, n’identifie pas de manière unique une machine. Nous allons voir qu’en plus, cette IP peut être détectée lors d’activités frauduleuses alors que vous n’y êtes absolument pour rien.
Tout d’abord, revenons rapidement sur le fonctionnement des réseau d’échange d’égal à égal (ou Peer to Peer). Voila les deux systèmes les plus répandus en ce moment :
* Les systèmes centralisés : c’est le cas d’eMule. Vous vous connectez d’abord à un serveur, qui référence toutes les machines connectées et tous les fichiers partagés (une sorte de grand annuaire qui sait exactement qui a quoi). Lorsque vous faites une recherche, le serveur vous indique l’IP de toutes les machines qui ont le fichier qui vous intéresse, et il vous suffit de vous connecter à ces machines pour récupérer le fichier. Le fichier est coupé en morceaux pour pouvoir télécharger sur plusieurs machines en même temps. Lorsque vous téléchargez un fichier, votre machine partage automatiquement les morceaux déjà récupérés. Contrairement à ce que beaucoup pensent, ce n’est pas le fait de télécharger qui va être sanctionné mais le fait de mettre à disposition une œuvre, chose qui se fait automatiquement quand vous la téléchargez. Les ayants droit n’ont donc qu’à se connecter et demander poliment au serveur quelles machines partagent ses fichiers pour avoir l’IP de tous les contrevenants. Crypter les données est donc totalement inutile tant que le serveur donne librement l’adresse IP des machines qui possèdent un fichier.
* Le système décentralisé : c’est le cas de bit torrent. Cette fois-ci plus de serveur central, ce qui permet de rendre le système d’échange beaucoup plus robuste. Les machines connectées à bit torrent communiquent uniquement entre elles et se chargent de savoir qui partage quoi (au lieu d’avoir un seul annuaire qui sait tout, chaque machine possède son propre annuaire consultable librement). Interviennent ensuite des trackers (par exemple The Pirate Bay, le plus célèbre) qui vont scanner les réseaux et tenter de référencer les fichiers partagés. Un fichier .torrent contient l’adresse IP de quelques machines qui avaient le fichier à un instant donné (contrairement au serveur qui donne toutes les machines à l’instant présent). Ensuite, lorsque vous vous connectez aux machines qui ont le fichier, ce sont elles qui vont vous indiquer, grâce à leur annuaire, d’autres machines sur lesquelles vous pouvez télécharger. A force de vous connecter sur des machines vous en découvrirez d’autres, jusqu’à connaître l’adresse de toutes les machines qui ont le fichier. Pour le reste, le fonctionnement est équivalent au système centralisé. Dans ce cas, les ayants droit n’ont qu’à demander aux trackers pour avoir l’IP de certains contrevenants, mais doivent se connecter au réseau et télécharger le fichier pour les avoir tous.
Or ce système de traque pose problème dans plusieurs cas :
* Premier cas : le serveur ou le tracker ont des informations erronées. C’est le cas de The Pirate Bay qui ajoute volontairement des adresses IP aléatoires dans son tracker pour démontrer les failles de la traque. Des chercheurs du MIT s’étaient également amusés à faire accuser de piratage les imprimantes de leur faculté en ajoutant leur IP dans les trackers (alors qu’une imprimante est incapable de partager illégalement un fichier). Cette méthode pour relever des infractions est caduque, a moins de se connecter à chaque machine et de réellement télécharger le fichier incriminé. Or se connecter et télécharger prend du temps, c’est pour ça que beaucoup de relevés d’infractions ne le font pas. De plus la loi ne garantit absolument pas la manière utilisée pour relever les IPs. Les ayants droit n’ont qu’à fournir une IP, l’heure de la connexion ainsi que le fichier incriminé pour lancer la procédure. Pour reprendre l’exemple de la sécurité routière, c’est comme si des entreprises privées bricolaient elles même leurs propres radars et envoyaient les photos des plaques avec la vitesse à la gendarmerie pour qu’elle mette des amendes, sans que ces radars soient étalonnés par l’état. Dans le cas du relevé défectueux de la part des ayants droit, aucun recours n’est possible.
* Deuxième cas : votre voisin a piraté votre wifi, qui était insuffisamment sécurisé, et l’a utilisé pour télécharger illégalement. Or selon la loi Hadopi, le seul fait de ne pas avoir su sécuriser sa connexion vous expose à la sanction. Sachant que toutes les Box ont le wifi activé par défaut et que pirater un wifi est enfantin (cf preuve faites par UFC que choisir : www.ecrans.fr/IMG/pdf/Constat-ufc-que-choisir-wifi.pdf , un véritable guide pas à pas), ce cas devrait être assez fréquent. Le gouvernement a prévu dans la loi que vous ne subirez pas de sanction si vous arrivez a prouver (à vos frais) qu’on vous a piraté, et que vous donnez le nom du vrai coupable. Cependant, soit vous vous y connaissez suffisamment en informatique et vous saurez blinder votre borne wifi, soit vous n’y connaissez rien et vous serez bien incapable de prouver qu’il y a eu piratage.
* Troisième cas : un virus. La plupart des virus modernes consistent à transformer votre machine en "zombie" pour créer un "botnet". Un "botnet", ce sont plusieurs milliers de machines "zombies" connectées au web, qui obéissent au doigt et l’œil du pirate qui les contrôle (on parle ici de vrai pirate, et pas du pirate du dimanche qui télécharge). Ils sont souvent utilisés pour envoyer des mails de spam et attaquer des sites web. Mais ils permettent également au pirate de transformer la machine infectée en passerelle, et donc de surfer et télécharger avec votre IP. Vous pourrez donc subir une coupure alors que vous n’étiez pas responsable, à moins d’arriver à prouver que vous avez été piraté, chose encore une fois très difficile pour le commun des mortels (moi compris).
Cette loi instaure entre autres la "riposte graduée", qui en cas de téléchargement illégal, après l’envoi de 2 avertissements, prévoit la coupure de la connexion internet de l’abonné contrevenant. La plupart des arguments qui s’opposent à cette loi étant assez techniques, je vais tenter d’expliquer certains éléments de fonctionnement du net qui sont utiles pour les comprendres, puis j’aborderai point par point les éléments de la loi qui selon moi sont problématiques. J’essaierai également sur chaque point de montrer en quoi cette loi et d’ores et déjà inutile en montrant les différents contournements existants.
Accrochez vos ceintures et bienvenue dans le cyber espace !
Tout d’abord pour qu’il y ait sanction, il faut qu’il y ait constatation d’une infraction. Le système mis en place dans le cadre de l’Hadopi est souvent comparé au système de radar automatique sur les routes, où des points de contrôles sont placés sur la route, et tout automobiliste qui franchit ce point à une vitesse supérieure à la limite est "flashé" et reçoit une amende. Dans le cas d’une voiture, c’est la plaque d’immatriculation qui permet d’identifier le conducteur pour lui envoyer une amende. Cette plaque est censée identifier de manière unique chaque véhicule. Mais est-il possible d’identifier chaque ordinateur de manière unique pour que la sanction s’adresse à la bonne personne ? C’est là que l’IP entre en jeu.
L’IP (qui signifie "Internet Protocol") est en effet le point d’entrée sur la toile. Composée de 4 chiffres compris entre 0 et 255 (par exemple 192.168.0.1) elle est sensée identifier de manière unique chaque ordinateur, et correspond à l’adresse à laquelle une machine pourra être contactée (comme un numéro de téléphone). Pour prendre un exemple, lorsque vous vous connectez à un site web (par exemple www.jaimelesartistes.fr/), votre navigateur va d’abord aller récupérer l’adresse IP de la machine qui héberge le site, puis se connecter directement à cette machine grâce à son IP et récupérer les pages que vous avez demandées. L’adresse IP de jaimelesartistes.fr est 94.23.48.134, vous pouvez donc vous y connecter directement en rentrant cette adresse dans votre navigateur. Si vous voulez connaître votre adresse, allez sur ce site www.ip-adress.com, vous verrez qu’on peut vous localiser avec une précision déconcertante.
Chaque machine connectée doit donc avoir une IP unique, ce qui pose un premier problème puisque le nombre d’IP possibles est déjà inférieur au nombre de machines connectées dans le monde. Il va donc falloir procéder à des regroupements de machines pour que tout le monde puisse être connecté, c’est ce qu’on appelle des réseau locaux (où LAN). Par exemple, dans la plupart des entreprises, un réseau local est mis en place. Dans ce réseau, chaque machine a une IP qui n’est valable qu’au sein de l’entreprise (comme un numéro de téléphone interne). Pour accéder au web, toutes les machines de l’entreprise vont ensuite passer par une "passerelle", machine qui est directement connectée au web et qui va faire l’intermédiaire entre le réseau local et le réseau global (un peu comme une standardiste qui se chargerait de dispatcher les appels). Ainsi, une seule IP unique est nécessaire pour toute l’entreprise. La Box de votre fournisseur d’accès fonctionne exactement sur le même principe, une seule adresse IP unique pour toute la famille.
Vu de l’extérieur, tous les employés de l’entreprise et tous les membres de la famille ont donc la même IP. Hors, tout le système de sanction de l’Hadopi repose sur cette fameuse IP. Problème : si un seul salarié télécharge illégalement, c’est comme si toute l’entreprise avait téléchargé illégalement puisqu’il est impossible, vu de l’extérieur, de savoir qui est responsable. Même problèmes dans certains syndics qui partagent un accès internet communautaire : un seul résident télécharge illégalement et tout l’immeuble est fautif. On voit déjà une des failles béantes du système : avec le fonctionnement actuel du web (qui n’a jamais changé depuis sa création), la coupure de connexion internet va dans la plupart des cas être une punition collective.
Certes, les entreprises ne pourront normalement pas être coupées : elles seront obligées, à la place, de "sécuriser" leur réseau à leurs frais pour éviter que les employés puissent télécharger (donc soit brider le réseau pour interdire certaines fonctionnalités, soit surveiller la machine de chaque employé). On aperçoit déjà ce que risque de coûter Hadopi aux entreprises françaises... Les associations, elles, n’échappent pas à la coupure. Dans le cas du syndic c’est tout l’immeuble qui sera coupé, pareil pour la famille. Argument de Mme Albanel : "si on vous coupe internet vous pouvez toujours aller chez le voisin". Dans ce cas autant couper aussi l’eau et le gaz, on pourra toujours aller se doucher et se faire à manger chez le voisin...
Contournement :
Cependant, ce fonctionnement peut aussi être utilisé pour contourner le système de riposte graduée en permettant de masquer son IP : c’est ce qu’on appelle les réseaux privés virtuels (ou VPN). Grace à la magie de l’immatériel, il est possible de recréer le même type de réseau que dans une entreprise, à savoir plusieurs machines connectées entre elles sur le même réseau local (dit "privé virtuel" car en réalités les machines ne sont pas localisées au même endroit), et qui passent par une passerelle pour accéder au net.
Ainsi, toutes les machines du réseau privé virtuel vont prendre l’IP de la passerelle, et pourront donc surfer dans un parfait anonymat. Si cette passerelle est située à l’étranger, le droit français ne s’y applique pas et vous êtes tout bonnement intouchable par l’Hadopi. L’utilisation d’un VPN est très simple, puisqu’il suffit d’installer un petit logiciel sur son ordinateur. Ils sont souvent payants (5€ à 30€ par mois, même si certains sont gratuits : www.peer2me.com), sont légaux et vous permettent un surf totalement anonyme. Personnellement j’aurais préféré payer cette somme pour une licence globale. Le gouvernement veut du tout répressif, tant pis pour lui...
La chasse est ouverte : la collecte des IPs.
Nous avons vu que l’IP, contrairement à ce que pense le gouvernement, n’identifie pas de manière unique une machine. Nous allons voir qu’en plus, cette IP peut être détectée lors d’activités frauduleuses alors que vous n’y êtes absolument pour rien.
Tout d’abord, revenons rapidement sur le fonctionnement des réseau d’échange d’égal à égal (ou Peer to Peer). Voila les deux systèmes les plus répandus en ce moment :
* Les systèmes centralisés : c’est le cas d’eMule. Vous vous connectez d’abord à un serveur, qui référence toutes les machines connectées et tous les fichiers partagés (une sorte de grand annuaire qui sait exactement qui a quoi). Lorsque vous faites une recherche, le serveur vous indique l’IP de toutes les machines qui ont le fichier qui vous intéresse, et il vous suffit de vous connecter à ces machines pour récupérer le fichier. Le fichier est coupé en morceaux pour pouvoir télécharger sur plusieurs machines en même temps. Lorsque vous téléchargez un fichier, votre machine partage automatiquement les morceaux déjà récupérés. Contrairement à ce que beaucoup pensent, ce n’est pas le fait de télécharger qui va être sanctionné mais le fait de mettre à disposition une œuvre, chose qui se fait automatiquement quand vous la téléchargez. Les ayants droit n’ont donc qu’à se connecter et demander poliment au serveur quelles machines partagent ses fichiers pour avoir l’IP de tous les contrevenants. Crypter les données est donc totalement inutile tant que le serveur donne librement l’adresse IP des machines qui possèdent un fichier.
* Le système décentralisé : c’est le cas de bit torrent. Cette fois-ci plus de serveur central, ce qui permet de rendre le système d’échange beaucoup plus robuste. Les machines connectées à bit torrent communiquent uniquement entre elles et se chargent de savoir qui partage quoi (au lieu d’avoir un seul annuaire qui sait tout, chaque machine possède son propre annuaire consultable librement). Interviennent ensuite des trackers (par exemple The Pirate Bay, le plus célèbre) qui vont scanner les réseaux et tenter de référencer les fichiers partagés. Un fichier .torrent contient l’adresse IP de quelques machines qui avaient le fichier à un instant donné (contrairement au serveur qui donne toutes les machines à l’instant présent). Ensuite, lorsque vous vous connectez aux machines qui ont le fichier, ce sont elles qui vont vous indiquer, grâce à leur annuaire, d’autres machines sur lesquelles vous pouvez télécharger. A force de vous connecter sur des machines vous en découvrirez d’autres, jusqu’à connaître l’adresse de toutes les machines qui ont le fichier. Pour le reste, le fonctionnement est équivalent au système centralisé. Dans ce cas, les ayants droit n’ont qu’à demander aux trackers pour avoir l’IP de certains contrevenants, mais doivent se connecter au réseau et télécharger le fichier pour les avoir tous.
Or ce système de traque pose problème dans plusieurs cas :
* Premier cas : le serveur ou le tracker ont des informations erronées. C’est le cas de The Pirate Bay qui ajoute volontairement des adresses IP aléatoires dans son tracker pour démontrer les failles de la traque. Des chercheurs du MIT s’étaient également amusés à faire accuser de piratage les imprimantes de leur faculté en ajoutant leur IP dans les trackers (alors qu’une imprimante est incapable de partager illégalement un fichier). Cette méthode pour relever des infractions est caduque, a moins de se connecter à chaque machine et de réellement télécharger le fichier incriminé. Or se connecter et télécharger prend du temps, c’est pour ça que beaucoup de relevés d’infractions ne le font pas. De plus la loi ne garantit absolument pas la manière utilisée pour relever les IPs. Les ayants droit n’ont qu’à fournir une IP, l’heure de la connexion ainsi que le fichier incriminé pour lancer la procédure. Pour reprendre l’exemple de la sécurité routière, c’est comme si des entreprises privées bricolaient elles même leurs propres radars et envoyaient les photos des plaques avec la vitesse à la gendarmerie pour qu’elle mette des amendes, sans que ces radars soient étalonnés par l’état. Dans le cas du relevé défectueux de la part des ayants droit, aucun recours n’est possible.
* Deuxième cas : votre voisin a piraté votre wifi, qui était insuffisamment sécurisé, et l’a utilisé pour télécharger illégalement. Or selon la loi Hadopi, le seul fait de ne pas avoir su sécuriser sa connexion vous expose à la sanction. Sachant que toutes les Box ont le wifi activé par défaut et que pirater un wifi est enfantin (cf preuve faites par UFC que choisir : www.ecrans.fr/IMG/pdf/Constat-ufc-que-choisir-wifi.pdf , un véritable guide pas à pas), ce cas devrait être assez fréquent. Le gouvernement a prévu dans la loi que vous ne subirez pas de sanction si vous arrivez a prouver (à vos frais) qu’on vous a piraté, et que vous donnez le nom du vrai coupable. Cependant, soit vous vous y connaissez suffisamment en informatique et vous saurez blinder votre borne wifi, soit vous n’y connaissez rien et vous serez bien incapable de prouver qu’il y a eu piratage.
* Troisième cas : un virus. La plupart des virus modernes consistent à transformer votre machine en "zombie" pour créer un "botnet". Un "botnet", ce sont plusieurs milliers de machines "zombies" connectées au web, qui obéissent au doigt et l’œil du pirate qui les contrôle (on parle ici de vrai pirate, et pas du pirate du dimanche qui télécharge). Ils sont souvent utilisés pour envoyer des mails de spam et attaquer des sites web. Mais ils permettent également au pirate de transformer la machine infectée en passerelle, et donc de surfer et télécharger avec votre IP. Vous pourrez donc subir une coupure alors que vous n’étiez pas responsable, à moins d’arriver à prouver que vous avez été piraté, chose encore une fois très difficile pour le commun des mortels (moi compris).