Spécial sécurité : les conséquences de l’adoption d’Hadopi
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères reviennent sur l'adoption de loi dite Hadopi par l'Assemblée Nationale, texte qui soulève des questions tant éthiques que techniques.
Sommaire
- 1 - Les conséquences de l’adoption d’Hadopi
- 2 - Long comme un jour sans Conficker
> 1) Les conséquences de l’adoption d’Hadopi
Soupir de soulagement, pour Christine Albanel, qui voit son projet Hadopi passer in-extremis devant l’Assemblée. Pourtant, les amendements étaient nombreux, qui auraient pu vider le texte de sa substance. A commencer par la proposition d’intégrer à la commission un membre de la Cnil, dont le rôle aurait été de contrôler le fichage des internautes présumés coupables de piratage. D’autres idées totalement fantaisistes allaient même jusqu’à imaginer que ne soient pas sanctionnées les personnes coupables d’échanger des œuvres impossibles à acquérir en téléchargement sur le Net. Ou pis encore – une idée de l’UMP Lionel Tardy - que les sanctions contre les internautes soient du ressort de la Justice… On frémit.
Pour Jean Michel Planche, interviewé par Jean Michel Billaud, Hadopi n’est que le premier coin enfoncé dans la structure juridique d’Internet. Une loi qui, progressivement, fait le lit de la future Lopsi (Loi pour la sécurité intérieure, dite Loi Sarkozy II), et qui légalisera un filtrage s’appliquant à l’ensemble des contenus IP. En « écoutant entre les lignes », il semblerait que l’efficacité d’Hadopi soit un aspect tout à fait secondaire. Ce qui importe, c’est que ce projet de loi soit parvenu à imposer à la France entière une vision bipolaire de la question, un manichéisme simpliste du problème, qui permettrait à son tour de justifier des mesures plus musclées. Une bipolarisation qui, pour reprendre le mot de la Ministre, permet d’accuser tout opposant à Hadopi de « se placer constamment du côté des cyberdélinquants». « Je suis contre Hadopi, contre le piratage et contre la licence globale », martèle J.M. Planche. Et de déconstruire, pierre après pierre, la logique de la loi Albanel-Lefebvre.
De façon un peu plus concrète, les détails d’Hadopi et les diables qui s’y cachent pourraient bien réserver à l’industrie des réveils difficiles et des nervous brèkdone. Car la première conséquence de cette loi sera de provoquer un sentiment de crainte de la part des « téléchargeurs compulsifs ». Sentiment qui trouvera très rapidement un remède technique dont les conséquences pourraient être lourdes pour les usagers « légitimes » du Net.
Contre le flicage du contenu transféré, il ne faut pas être un grand expert en informatique pour prévoir que, très rapidement, les mécanismes d’échange vont s’enrichir de fonctions de chiffrement. Et très probablement pas avec du hachage genre MD5. Est-ce à dire que pour contrer cette pratique, l’on pousse la DCSSI à renouer avec ses vieilles chimères, en imposant des algorithmes de chiffrement limités ? L’impact sur le développement du e-commerce, sur l’externalisation, sur la dématérialisation du poste de travail serait lourd.
Sur l’influence d’Hadopi dans les futures évolutions de la Lopsi, l’on peut également se demander si, au titre des contre-contre-mesures antipirates, le gouvernement n’en arriverait pas à imposer aux opérateurs d’effectuer des filtrages de protocoles. En interdisant par exemple tel ou tel type de mécanisme P2P, voire en supprimant tout ce qui peut s’apparenter à un VPN ou à tout autre type de liaison « encapsulée » propriétaire (ICA de Citrix, RDP, etc). Science-fiction que tout ça ? Coût exorbitant invoqué par les FAI qui ne peuvent en supporter la charge ? Allons donc… depuis fort longtemps, certains opérateurs –Free par exemple - pratiquent la religion du packet shaping, et suppriment pratiquement toute la bande passante de leurs usagers non-dégroupés dès lors que ceux-ci font mine d’utiliser un Azureus ou autre logiciel de cette même famille. Qu’importe le contenu – ISO de noyaux open source ou œuvres piratées -, tout le monde est placé sur un même pied d’égalité. On voit donc mal ce qui « coûterait plus cher » à un FAI d’étendre ces mêmes politiques de filtrage à l’ensemble de son réseau ou d’ajouter tel ou tel protocole à ses règles… dans le pire des cas, il y gagnerait en bande passante, donc en frais d’infrastructure. Notons à ce sujet que cette « réduction de débit » brandie comme une possible sanction (voir le début de l’article « A l'Assemblée, le baroud d'honneur des anti-Hadopi » in Rue 89) aurait été perçue comme un coup de Jarnac contre ces FAI qui pratiquent déjà ladite réduction de bande passante. En qualifiant cette mesure au chapitre des sanctions, le gouvernement donnait une arme légale à tous les provinciaux non dégroupés qui, eux, ne « peuvent pas devenir des pirates » et qui auraient pu légitimement invoquer un état de fait discriminatoire et poursuivre ainsi leurs fournisseurs d’accès. A l’heure où il est sage de s’attirer les bonnes grâces des marchands de kilobit/seconde, le moindre impair peut vite coûter un maroquin.
Ajoutons également que les quelques idéalistes qui planifieraient une externalisation – cloudification - de leurs applications en seraient pour leur frais, car très rapidement, les protocoles sécurisés utilisés se confondraient avec ceux employés par les pirates et pourraient alors se voir « punis pour utilisation abusive de protocoles favorisant le piratage ». A moins qu’ils – les acheteurs de services externalisés - acceptent, par civisme et respect de la loi, de travailler en transmettant leurs données « en clair » sur le réseau public. Après tout, ceux qui n’ont rien à se reprocher n’ont rien à cacher… pas même leurs plans stratégiques, comptables, ou leurs secrets de fabrication.
Et quand bien même cette question du protocole chiffré serait un faux argument que la sanction prévue par la loi pourrait elle-même provoquer certains effets de bord inattendus. En schématisant à l’extrême, Hadopi se propose de suspendre l’accès à Internet à toute personne soupçonnée de piratage. Las, d’un point de vue technique, il existe une certaine différence entre une adresse IP et une personne physique. Qui télécharge ? Un Wardriver ou le propriétaire légitime de l’équipement désigné ? Et de quel équipement s’agit-il ? D’une console de jeu ? D’une imprimante réseau ? D’un smartphone wifisé ? D’un wormhole/troyen/backdoor pratiqué dans un réseau privé ? En d’autres termes, la moindre vulnérabilité, le moindre accès frauduleux non détecté peut avoir pour conséquence de couper du monde de l’entreprise tout télétravailleur qui ne possède pas au minimum une certification CISSP et un LAN dont la moindre prise serait passée au crible des Common Criteria. Or, le télétravail, le « remote desktop », l’outsourcing sont les mamelles de la relance espérée que chantent aujourd’hui les professionnels des services informatiques.
Ce à quoi les défenseurs d’Hadopi rétorquent qu’un logiciel « béni » par le Gouvernement sera proposé à toute personne se sentant incapable d’assurer elle-même la sécurité de son installation. Sur ce point, les différentes associations de défense du logiciel libre ont déjà fait remarquer qu’un tel programme de « contrôle parental pour adulte » aurait peu de chance de tourner sur un Linux de tel ou tel parfum, et que cette obligation discriminatoire aurait pour première conséquence le sabordage de l’industrie française du développement Open Source. On entend nettement moins, en revanche, la voix des Apple, Nokia, Microsoft, RIM, de tous les constructeurs de smartphones, de consoles de jeux, d’équipements audio-vidéo « branchés » pour qui nul logiciel Hadopi n’est prévu et qui sont autant de points de vulnérabilité qui font régulièrement les grands titres des Defcon et des CCC. L’on se demande également par quel extraordinaire prodige de la science un tel logiciel Hadopi ne serait pas, à son tour, victime de vulnérabilités ou de failles de conception. Par quel coup de baguette magique un appel d’offre lancé par la Place Beauvau réussirait là où même les Symantec, les Kaspersky, les McAfee, les Sophos, les AVG, les Cisco ont échoué et se sont fait épinglés qui dans le traitement des bases de signatures, qui dans la gestion des fichiers compressés, qui dans la solidité approximative d’une interface d’administration Web ou d’un Telnet furtif.
Ce ne sont pas là les seuls points techniques qui rendront la loi Hadopi soit inapplicable, soit inefficace. Si l’on se réfère à l’avis Oh combien expert de Frédéric Lefebvre, le phénomène de la diffusion des œuvres audio et vidéo sur Internet s’apparente au trafic de drogue. Et tout comme pour le trafic de drogue – ou les réseaux de prostitution -, le meilleur moyen d’en arriver à bout, c’est d’en décapiter l’organisation plutôt que de poursuivre et pénaliser le « consommateur ». Des fournisseurs ou organisateurs qui, dans la quasi-totalité des cas, hébergent leurs serveurs en dehors des frontières de notre pays. Or, Hadopi est une loi franco-française, combattue ouvertement par la quasi-totalité des pays membres de la Communauté Européenne, et qui n’a pour l’heure que peu de chance de déboucher sur le moindre accord d’expulsion. Elle est donc incapable de juguler la source du problème, à moins d’instituer un filtrage non plus des liaisons du « dernier kilomètre », mais de tout flux qui peut provenir de l’extérieur de nos frontières.
Notons également qu’Hadopi semble séduire fortement d’autres gouvernements hors des frontières de la CEE. Aux Etats-Unis, une proposition de loi vise également à limiter la bande passante, voire à couper totalement l’accès à Internet nous rapporte le Register. Mais une telle proposition semble émouvoir les ligues de défense des libertés individuelles, qui pensent que cela donnerait au Président trop de pouvoir sans le moindre contrôle. Cette loi a donc peu de chance d’être avalisée par le Sénat. Il faut dire que les motifs invoqués Outre-Atlantique paraissent nettement plus fantaisistes que ceux ayant présidé à la création d’Hadopi, puisque ce projet serait applicable en cas de « situation d’urgence pouvant toucher une infrastructure stratégique (scada) » d’Etat ou fédérale.
Mise à jour : Le projet définitif a été adopté dans le courant du 2 avril devant un hémicycle pratiquement désert, prouvant le désintérêt des députés face à des débats trop « techniques ». Les réactions des associations des éditeurs du libre – dont l'April et de quelques développeurs indépendants ne se sont pas fait attendre. Cette loi, estiment-ils, sanctionne non pas le téléchargement illégal, mais le niveau de protection et la configuration des ordinateurs des internautes. La seule protection contre une sanction qui ne dépendra pas – faut-il le rappeler - d’une décision de justice consistera à équiper chaque machine, au frais de l’usager, d’un « mouchard filtrant » dont l’interopérabilité n’est absolument pas garantie.
> 2) Long comme un jour sans Conficker
Grâce à McAfee, ce 3 avril ne sera pas un jour sans Conficker. Malgré la saturation médiatique qu’a provoqué cette infection, malgré l’apparent désintérêt que semble témoigner la presse après un long mois de surenchères alarmistes, l’éditeur d’antivirus sort (enfin ?) un petit utilitaire gratuit et simple de détection réseau. C’est propre, très « léché » côté interface, et capable de balayer plusieurs classes IP d’un coup pour en dénombrer les machines infectées. L’outil peut en outre brodcaster par « net send » un message prévenant l’usager de la machine malade. Ca s’appelle « Conficker Detection Tool » et c’est disponible sur le site de l’éditeur. Nous attirons l’attention de nos lecteurs sur le fait qu’il ne s’agit là que d’une opération de détection, et que l’éradication de Downadup est une tâche un peu moins triviale.