May 12 2009
Loi Création & Internet: En quoi HADOPI est-elle inapplicable ?
Dans ce billet, je ne reviendrais pas sur l’intérêt d’HADOPI. Faut-il une loi répressive ? Est-ce qu’elle est liberticide ? J’avais répondu à ces questions dans des billets précédents:
- L’europe et la license graduée
- Première analyse d’HADOPI
- Disfonctionnement du système de détection du partage P2P
- Annonce de la riposte graduée
- La CNIL accepte une dérive liberticide
- Le piratage pour le fun et le profit
- Avant projet de loi Olivienne (futur HADOPI)
- Les majors demandent un accès total aux données des fournisseurs d’accès
Le but de ce billet est de montrer que techniquement HADOPI reléve d’une
méconnaissance totale du fonctionnement d’Internet et de l’informatique
et des réseaux en général. Je ne me considére pas comme un expert dans
le domaine de limitation des accès sur Internet. Par contre, j’ai un
double diplôme ingénieur et master recherche en sécurité informatique et
je prépare actuellement une thèse en securité système. De plus, je donne
des cours en sécurité informatique en IUT. Je pense avoir un minimum de
connaissance pour donner une vision réaliste de la situation qu’amènera
cette loi. Voici donc pourquoi cette loi ne sera qu’une de plus à mettre
au cimetière juste après son vote sans aucune possibilité d’application.
Il y a plusieurs hypotheses sur l’application de HADOPI. Partons du but
ultime de HADOPI: supprimer le téléchargement de fichiers sous copyright
sur Internet et particulièrement le partage par réseau pair à pair. Le
protocol P2P (pair à pair) qui est spécialement visé est le torrent.
Alors comment “contrôler” torrent ?
En effet, il n’est pas possible de “simplement” d’interdire le P2P car
il sert pour de nombreux autres usages que le téléchargement de fichiers
sous copyright. Il faut donc pouvoir détecter le téléchargement et le
partage de fichiers clairement fixés. Pour cela, je commencerai par le
niveau le plus général jusqu’au niveau le plus précis.
Tout d’abord, il serait possible pour les majors de surveiller les
serveur torrent (tracker) qui permettent aux utilisateurs de se
connecter les uns les autres pour partager un fichier. Mais, il existe
des dizaines de millers de ces trackers et beaucoup sont privés voir
très privés. De plus, il faudrait que pour chaque téléchargement, les
personnes controlant les transferts soient capable de fournir des
preuves irréfutables que l’utilisateur (i.e. l’adresse internet IP) a
bien téléchargé. Cela est possible et déjà fait dans d’autres pays à
grande échelle comme les USA. Mais cette solution marche mal avec
beaucoup de faux positifs (des personnes ayant été poursuivi mais
n’ayant pas télécharger) et elle est de plus en plus abandonnée par les
personnes l’utilisant (les majors du disques et la RIAA).
Alors, pourquoi, comme le proposent les majors du disques et du cinéma,
ne pas mettre en place des logiciels de contrôles chez les fournisseurs
d’accès internet (FAI) ? Mettons que les FAI sont d’accord pour les
installer. Le logiciel va pouvoir contrôler tout ce qui se passe sur le
réseau. Mais est-il possible pour autant de détecter le téléchargement
de fichiers sous copyright. Pour cela, il faut plusieurs prérequis: une
empreinte de chaque fichier qui ne doivent pas être partager et pouvoir
connaitre l’ensemble de ces fichiers. Premièrement, avoir une empreinte
de fichier est tout à fait possible et très utiliser pour détecter de la
modification de fichiers pendant les transfert (avec les checksums: MD5,
SHA). Connaitre tous les fichiers qui contiennent du contenu sous
copyright est nettement plus compliqué. En effet, il faut savoir que
pour un même film il peut y avoir plusieurs centaines de fichiers
totalement différent le contenant suivant comment et par qui ils ont été
copiés. Il faudrait donc connaitre l’intégralité de ces fichiers ce qui
risquent d’être particulièrement compliquer, voir impossible. De plus,
le protocol torrent contrairement à d’autres protocoles P2P (comme
KaZaa) ne transmet pas les fichiers en une seule fois mais en petite
pièces qui peuvent venir de plusieurs personnes. Donc savoir qu’une
personne télécharge un fichier il faut savoir reconstruire ce fichier et
vérifier que c’est un fichier sous copyright. Cela est compliqué et à un
fort cout en terme de ressources informatique. En plus, il faudrait le
faire pour tout les transferts sous torrent, cela même si le fichier
n’est pas sous copyright. A ce moment, cela devient totalement
infaisable sans des couts totalement prohibitifs.
Rapprochons nous de l’utilisateur: installons un logiciel de
vérification au niveau de la “box” de l’utilisateur. Ce logiciel ne
pourrait pas faire plus qu’un logiciel installé chez un fournisseur et
devrons donc être puissante ce qui n’est pas le cas. Finalement,
installer un logiciel sur l’ordinateur de chaque internaute pour qu’il
puisse prouver qu’il a bien pas télécharger. Ce logiciel devra donc être
capable de le faire. C’est cette voie que semble avoir choisi le
gouvernement avec HADOPI. Imaginons que ce logiciel soit une sorte
d’antivirus, il pourrait faire deux choses. D’abord vérifier que tous
les fichiers entrant sur l’ordinateur ne sont pas un fichier sous
copyright. Pour cela, il se retrouverai avec les mêmes problèmes que
ceux posées aux FAI et à une installation sur une “box”. Sinon, il
pourrait vérifier chaque fichier sur le disque dur des internautes et
vérifier que ce fichier ne fait pas parti d’une liste de fichiers
interdits. Cela est tout à fait possible même si demanderait une très
lourde infrastructure (je ne parle pas des implications de vie privée).
L’interdiction d’accès a certains sites (PirateBay pour ne citer que
lui) n’est dans la réalité pas possible car il sera toujours possible
par des voies plus ou moins détournées d’y accéder. Les accès de site
interdit depuis la chine est faisable hors ils ont une infrastructure de
contrôle de l’Internet qui est inégalable. Il reste une proposition:
obliger l’utilisation du P2P avec un logiciel spécial qui contrôle tout
ça: le logiciel serait contrefer et modifier en quelques heures pour ne
plus fonctionner.
Mais revenons en arrière progressivement pour montrer que même si les
logiciels ne fonctionneraient que difficilement à tous les niveaux
malgré cela il serait simple de les contourner. En effet, un logiciel
spécial serait modifier pour ne plus envoyer d’alarmes de piratage à
HADOPI, cela est relativement simple particulièrement pour une
communauté qui a des capacités de modification de logiciels de très haut
niveau (piratage rapide de n’importe quelles nouvelles protections
coutant des centaines de millers d’euro en quelques jours).
Mais, alors pour le logiciel sur l’ordinateur, il faut savoir que sur
Internet, l’ensemble de votre réseau personnel ne contient qu’une unique
identité. Si vous disposez de plusieurs ordinateurs branchés sur votre
box en WiFi ou filaire, ils auront tous la même adresse IP sur Internet.
Il serait donc simple d’acheter un ordinateur où on installe le logiciel
spécialisé pour le contrôle et télécharger sans aucun problème des
fichiers sous copyright sans être détecter. Le logiciel ne contrôlant
qu’un ordinateur et cela suffirait pour prouver son innocence. On
pourrait même utiliser des technologies de virtulisation permettant de
faire tourner plusieurs ordinateurs sur un seul physique et donc n’avoir
rien à acheter.
Pour finir, au niveau des FAI, des boxs et autres, il est tout à fait
possible de se cacher totalement en chiffrant les données sans qu’elles
puissent être lues par une autre personne que le destinataire. Cela est
déjà mise en place pour torrent et pourrait s’amplifier très simplement.
De plus, il est tout à fait possible de louer un serveur ou une partie
de serveur permettant de cacher son identité (i.e. son IP) sur Internet.
Le prix de tel service a chuté en quelques mois et on trouve des
solutions à quelques euros (5) maintenant. Dans ce cas, l’adresse
pourrait se trouver à l’étranger et donc ne s’appliquerait plus à la loi
française.
Finalement, même si le torrent est stoppé, un protocole contournant tous
les failles de torrent serait mise en place qui serait de plus en plus
totalement indétectable (l’exemple de la course à l’armement dans le
monde des malwares et virus est clair). Il faut également savoir que de
nombreuses personnes téléchargent par d’autres voies (FTP,
téléchargement HTTP avec rapidshare ou autres, newsgroups, etc). On voit
donc que peu importe le système il ne fonctionnera pas. Et que même si
le système fonctionnerai, il serait rapidement contourner et cela avec
des manières très simple utilisable pour tout le monde (même madame
michu !). On rangera donc HADOPI avec la DAVDSI dans les lois inutiles
et inaplicable.