mise au point : J'ai procédé au changement du titre de cet article (anciennement : "Hadopi le côté obscur") afin de mieux refléter le contenu de cet article sans toucher à on texte. Veuillez noter que les passages en gras ne sont pas des modifications et faisaient partie de l'article original.
Comme nous l'avons déjà vu précédemment la déjà fameuse loi Hadopi s'appliquera à la fois aux particuliers et aux entreprises. Cependant, il reste encore des zones d'ombres sur certaines faisabilités techniques.
Je ne reviendrai pas sur le grand sujet qui occupe beaucoup de monde déjà, à savoir peut on couper l'accès Internet d'un abonné sans couper le reste. Le sujet étant trop polémique, et devenant par ce fait plus une guerre de religion qu'autre chose. Non, restons simple, et essayons de nous poser les bonnes questions. Par exemple, comment un protocole ne garantissant pas la remise de message peut devenir force de loi. En effet, le protocole SMTP utilisé pour les emails ne supporte pas intrinsèquement, l'accusé réception ou accusé de lecture, même si certains clients de messagerie vous les propose. Intéressante question, non ?
Mais il y plus intéressant. En effet, la loi est explicite sur ce point, si l'entreprise ou le particulier s'équipe d'un logiciel de « monitoring », celui-ci fournira les preuves de sa bonne foi. Mais quelles peuvent être les fonctionnalités de ce logiciel ? Autre intéressante question ? Il existe déjà, des logiciels ayant de loin la même fonctionnalité, on les classe en général dans la famille des logiciels de contrôles parentaux (pour les particuliers), ou d'URL filtering (pour les entreprises). Mais est ce suffisant, d'avoir des listes blanches d'accès, des listes d'interdits, ou l'interdiction de certains protocoles pour prouver sa bonne foi ? Si c'est cela, il y aura des trous dans la raquette. Pourquoi ?
Reprenons les faits, la preuve fournit par Hadopi sera sous forme date et heure du délit. Vous voyez ce que cela implique ? Non ? Simplement que le logiciel de monitoring doit avoir une base de temps commune avec Hadopi, donc soit une mise à l'heure via NTP (un autre port à ouvrir sur le firewall), soit via web. Sinon, il sera facile de mettre un J-1 sur l'ordinateur supportant le logiciel...Il faudrait donc aussi que ce logiciel écrive des logs sécurisés que l'on ne puisse pas modifier (hashage ou signature ?).
Mais ce n'est que l'apéritif, la loi stipule que le particulier ou l'entreprise doit être maitre de son accès, comme tout l'accès Internet ne passe pas sur un PC, il y a peut être d'autres réseaux à monitorer (par exemple au hasard le WIFI), ce qui veut dire que le PC devra aussi contrôler ce qui se passe sur le routeur d'accès. Et c'est là que l'on va ouvrir la boite de Pandore. Combien y a-t-il de types de routeurs différents, il faudra que le logiciel puisse dialoguer avec tous...sous peine de non égalité devant la loi (d'ailleurs si l'on veut être complet, le logiciel devrait fonctionner aussi sur tous les systèmes d'exploitation, mais là c'est une autre histoire, une entreprise aura bien un vieux pc sous windows pour faire ce travail). Bon, pour les particuliers avec les Y BOX (XBOX étant une marque déposée) on devrait cerner le problème rapidement (quoique, je ne sais pas trop le pourcentage de particuliers n'ayant pas la box fournit par son FAI), mais pour les entreprises, alors là bon courage, entre les marques, les types, les releases logiciels ou matériels, cela tient de la performance sportive.
Ce logiciel décrit par la loi existe-t-il ? A ma connaissance actuellement, non. Mais pour l'application de cette loi, il le faudrait.
Mais il y plus intéressant. En effet, la loi est explicite sur ce point, si l'entreprise ou le particulier s'équipe d'un logiciel de « monitoring », celui-ci fournira les preuves de sa bonne foi. Mais quelles peuvent être les fonctionnalités de ce logiciel ? Autre intéressante question ? Il existe déjà, des logiciels ayant de loin la même fonctionnalité, on les classe en général dans la famille des logiciels de contrôles parentaux (pour les particuliers), ou d'URL filtering (pour les entreprises). Mais est ce suffisant, d'avoir des listes blanches d'accès, des listes d'interdits, ou l'interdiction de certains protocoles pour prouver sa bonne foi ? Si c'est cela, il y aura des trous dans la raquette. Pourquoi ?
Reprenons les faits, la preuve fournit par Hadopi sera sous forme date et heure du délit. Vous voyez ce que cela implique ? Non ? Simplement que le logiciel de monitoring doit avoir une base de temps commune avec Hadopi, donc soit une mise à l'heure via NTP (un autre port à ouvrir sur le firewall), soit via web. Sinon, il sera facile de mettre un J-1 sur l'ordinateur supportant le logiciel...Il faudrait donc aussi que ce logiciel écrive des logs sécurisés que l'on ne puisse pas modifier (hashage ou signature ?).
Mais ce n'est que l'apéritif, la loi stipule que le particulier ou l'entreprise doit être maitre de son accès, comme tout l'accès Internet ne passe pas sur un PC, il y a peut être d'autres réseaux à monitorer (par exemple au hasard le WIFI), ce qui veut dire que le PC devra aussi contrôler ce qui se passe sur le routeur d'accès. Et c'est là que l'on va ouvrir la boite de Pandore. Combien y a-t-il de types de routeurs différents, il faudra que le logiciel puisse dialoguer avec tous...sous peine de non égalité devant la loi (d'ailleurs si l'on veut être complet, le logiciel devrait fonctionner aussi sur tous les systèmes d'exploitation, mais là c'est une autre histoire, une entreprise aura bien un vieux pc sous windows pour faire ce travail). Bon, pour les particuliers avec les Y BOX (XBOX étant une marque déposée) on devrait cerner le problème rapidement (quoique, je ne sais pas trop le pourcentage de particuliers n'ayant pas la box fournit par son FAI), mais pour les entreprises, alors là bon courage, entre les marques, les types, les releases logiciels ou matériels, cela tient de la performance sportive.
Ce logiciel décrit par la loi existe-t-il ? A ma connaissance actuellement, non. Mais pour l'application de cette loi, il le faudrait.
Effectivement le vaporware de monitoring n'aurait de sens qu'avec un réseau entièrement constitué d'équipements managés, et encore, il y aura toujours le moyen de faire un tunnel pour masquer son activité.
Le coût pour les PME, associations et administrations va se chiffrer en milliards d'euros sauf à risquer la guillotine électronique tout ça pour rien (sauf si un économiste peut m'expliquer en quoi ces mesures vont augmenter la vente de musiques et de films enregistrés).
De plus, le mouchard devra passer par un serveur de stockage tiers, pour les journaux qui feront foi devant HADOPI, créant une faille potentielle de sécurité informatique.
La désobéissance civique s'impose. HADOPI ne passera ni par moi ni par mon entreprise ; dans tous les cas le décret d'application définissant les spécifications du fumeux logiciel n'est pas prêt de voir le jour !
J'ai fait une petite évaluation du coût pour une petite PME (5 à 20 employés) pour un député, la note va être élevée:
Au total, on atteint vite les 10k€.
Tout ça juste pour pouvoir fliquer ses users; aucune sécurité obtenue contre les intrusions ou malware, juste du pur flicage.
Ma conclusion: même si cette loi pouvait jamais remplir son but affiché -- sauver les créateurs -- il serait plus rentable pour l'économie française de jeter les Obispo et autres Johnny à la baille, et laisser les secteurs productifs travailler. Simple calcul.
"La question des moyens de sécurisation n’a pas été suffisamment approfondie. Qu’est-ce que ces objets informatiques non identifiés ? Quel est l’algorithme ? Comment repèrent-ils les fichiers ? Où peut-on se les procurer ? Il faudrait tout de même en parler !", a demandé judicieusement Jean Dionis du Séjour.
intéressant de voir que les opérateurs de téléphonie sont capable de brider les protocoles accessibles pour vendre des forfaits "internet-haut-débit-illimité-mais-dans-une certaine-limite-quand-même-faut-pas-pousser non-plus" mais dans le cadre d'une loi (ie : Hadopi) ce champ du possible technique disparaît !...
amusant...
A++
cédric
@Cedric : ce n'est pas une question d'opérateurs. C'est une question de logiciel "mouchard" à installer chez l'utilisateur final.
Lequel, même s'il accepte d'installer ledit logiciel, a quand même le droit de préférer Linux à Windows (c'est mon cas), ou alors BSD, ou n'importe quel OS alternatif.
Donc, le logiciel en question devra être porté sur ces systèmes : c'est une question d'égalité des citoyens devant la loi.
J'attends donc la livraison officielle du "mouchard" pour mon Ubuntu, avec l'impatience que vous imaginez...
J'ai trouvé la spécification du "logiciel de sécurisation". Il s'agit du RFC 3751 - Omniscience protocol publié un 1er avril...
NMONNET >> 10 k € ?! mais ca va pas la tete je sais pas ou tu trouves ces prix mais alors ils sont totalement à coté de la plaque !
on Arrive facilement à moitié moins cher, et en plus ça ne prend que deux jours max à déployer, puis euh forcer les mac sur chaque port ça prend juste quelques minutes...
Un server LDAP ne vaut pas quelques millers mais 1500 / 2000 € max
puis alors je parle pas du proxy...
la solution toujour sur les logiciels
http://securite-des-enfants-sur-internet.blogspot.com
Que ce soit l'OS utilise, le materiel deploye, les versions des firmwares ... le probleme que je vois est: monitorer mon utilisation de l'internet, logguer les sites sur lesquels je suis alle, les sites sur lesquels je peux faire des achats. Ce n'est que la premiere brique d'un controle plus approfondi sur les emails expedies, les publications sur les blogs, les reponses a un article ...