13 mai
Hadopi : une analyse juridique et technique
mise au point : Je tiens à préciser que cet article est le résultat d'une analyse factuelle qui ne comporte pas d'opinion personnelle. Dans cet article je ne donne pas d'avis positif ni négatif sur le fond de la loi Hadopi. Les informations factuelles qui ont servi à l'élaboration de cet article ont été élaborées en collaboration avec des experts juridiques. Une version antérieure de cet article a été reprise par d'autres sites avec des interprétations ou des commentaires ne reflétant pas mon opinion exprimée dans ce post. J'ai donc pris la décision de le publier à nouveau en changeant le titre (plus proche du texte) et quelques termes dont l'imprécision pouvait prêter à confusion, sans pour autant changer le sens de mon texte. Afin de vous permettre de visualiser les passages que j'ai modifiés, ces derniers ont été mis en gras.
Avant de pouvoir signaler à un client Internet (personne physique ou morale) qu'il a été pris en flagrant délit d'un téléchargement illégal, il faut être sûr du fait. Cela s'appelle disposer de la "preuve caractérisée du délit".
A ce jour, rien n'est spécifié quant à la méthode pour prouver les faits.
Comment cela peut-il se faire?
Ecouter le réseau ?
Dans la mesure où c'est au niveau de l'opérateur que la preuve doit être collectée, la méthode va donc vraissemblement reposer sur une solution technique de type sniffer. L'équipement écoutera le réseau, détectera un flux correspondant à un outil connu de peer to peer (P2P), pourra éventuellement décoder le flux en cours et par conséquent déduire ce qui transite.
Admettons que l'outil P2P soit un classique : eDonkey et autres clients compatibles... Tout ce qui pourra être constaté à l'instant t est qu'un infime morceau d'un fichier de quelques kilos octets (appelé chunk), dont le nom est en réalité un nombre hexadécimal, vient de passer. Ceci ne saurait constituer une preuve acceptable pour un caractériser un téléchargement de données illegal car d'une le P2P permet aussi de télécharger des données parfaitement légales, et de deux, la Loi ne saurait considérer un outil comme illégal.
Par conséquent, à ce stade : la plainte est infondée.
Pour pouvoir caractériser les faits, il faudrait que l'outil d'écoute du réseau mémorise les données, tel le client P2P lui-même, jusqu'à ce que cette quantité suffisante existe et que, par des outils quelconques, il soit possible d'en reconstituer suffisamment pour constater l'illicité du contenu du fichier (divx, mp3, ...)
Neutralité
Il faut savoir qu'un opérateur de télécom a une obligation de neutralité. Cela signifie qu'il ne peut pas focaliser sur un flux particulier pour constituer des preuves (sans procédure de justice associée), mais ne peut que réagir à un flux suspect qui est ressorti comme tel lors d'une analyse générale d'un lien réseau ou de traces par exemple.
Signalement
Une fois que l'Officier de Police Judiciaire chargé de surveiller l'équipement de détection de téléchargement illégal aura constaté les faits, la procédure visant à demander l'arrêt de la pratique pourra être enclenchée. Mais alors, si cette demande n'est pas envoyée en recommandé accusé-réception, celle-ci n'aura aucune valeur juridique, particulièrement en cas de courriel dont la remise est connue pour ne pas être fiable.
Mais alors Hadopi ?
Comme nombre de spécialistes le criaient à corps et à cri, Hadopi est potentiellement criticable d'un point de vue juridique, la jurisprudence le dira. A l'heure où la Communauté Européenne envisage de placer l'accès à Internet comme un droit civique (empêchant ainsi la coupure), on peut souligner que la France se verra probablement soumise à l'application de la loi Européenne, comme c'est la coutume.
De plus, malgré ce qui a pu être lu dans la presse ici et là, une solution technique pour lutter contre le fléau du piratage sera complexe à mettre en oeuvre, et le moyen de lutte devra sans cesse essayer de se mettre au niveau des évolutions techniques des logiciels pirates de téléchargement. Déjà des outils de P2P fonctionnent sur du port 443 en SSL, laissant à penser qu'un flux HTTPS classique est en transit. Même en sniffant, le flux sera indéchiffrable par l'équipement d'écoute et le téléchargement illégal ne pourra donc jamais être caractérisé.
A ce jour et en l'état actuel, toute plainte reçue par un Internaute (rappel: personne physique ou morale) sera une procédure qui pourrait être considérée comme abusive (voir notre commentaire ci-dessous sur la jurisprudence) pouvant déboucher sur une plainte auprès des pouvoirs compétents. Si ces plaintes débouchent sur une procédure en justice, nul doute qu'au final toutes les plaintes émises par la méthode Hadopi (pour l'appeler ainsi, car par Hadopi on entend ici les moyens techniques mis en oeuvre pour l'appliquer) seront nulles et non advenues.
En attendant, quid des méthodes actuellement utilisées ?
Attirer en étant un serveur de données illégales
L'ancienne méthode consiste à mettre sur le réseau un serveur partageant une donnée illégale et détecter tous ceux qui viendrait la prendre. Mais à ce niveau, nul ne peut se prévaloir de sa propre turpitude. En d'autres termes, le procédé est illégal.
De plus, par la magie des 'fakes' (fichier nommé comme ce qu'on pense télécharger mais qui contient en réalité autre chose, le plus souvent un film pornographique), le seul moyen de caractériser la preuve ici consistera à aller chez le téléchargeur et constater que la donnée est bien celle récupérée. Mais le fait de demander une enquête reposant sur une simple supposition peut être également considéré comme une procédure abusive, la certitude du fait étant indispensable.
Une autre approche efficace contre le piratage : constater un partage illicite.
Une autre approche plus intéressante consistera à se connecter sur un partageur (souvent le client P2P partage également ce qu'il a déjà pris, c'est la base du succès de ce principe), lister le contenu des fichiers à télécharger, puis prendre celui qu'on veut et, une fois qu'assez de données sont arrivées, reconstituer toute ou partie du fichier pour pouvoir enfin caractériser la preuve du délit, à savoir un contenu illégal. Une fois fait, plainte pourra être déposée afin qu'une perquisition soit effectuée et que constat soit fait de la présence d'autres données illégales.
A ce jour, avec cette méthode, (NDA au 15/05/2009 une autre hypothèse pourrait également être envisagée ultérieurement), la Loi n'est à aucun moment transgréssée par le plaignant. L'internaute pourrait, en toute bonne foi, arguer qu'il pensait télécharger un contenu licite mais, qu'à cause des 'fakes', le nom du fichier a débouché sur un contenu illégal qu'il ne pouvait pas arrêter de télécharger avant que celui-ci soit complètement arrivé.
Mais si la perquisition révèle une bibliothèque de MP3 sans les documents originaux, ça ne résistera pas comme argumentation.
A ce jour, rien n'est spécifié quant à la méthode pour prouver les faits.
Comment cela peut-il se faire?
Ecouter le réseau ?
Dans la mesure où c'est au niveau de l'opérateur que la preuve doit être collectée, la méthode va donc vraissemblement reposer sur une solution technique de type sniffer. L'équipement écoutera le réseau, détectera un flux correspondant à un outil connu de peer to peer (P2P), pourra éventuellement décoder le flux en cours et par conséquent déduire ce qui transite.
Admettons que l'outil P2P soit un classique : eDonkey et autres clients compatibles... Tout ce qui pourra être constaté à l'instant t est qu'un infime morceau d'un fichier de quelques kilos octets (appelé chunk), dont le nom est en réalité un nombre hexadécimal, vient de passer. Ceci ne saurait constituer une preuve acceptable pour un caractériser un téléchargement de données illegal car d'une le P2P permet aussi de télécharger des données parfaitement légales, et de deux, la Loi ne saurait considérer un outil comme illégal.
Par conséquent, à ce stade : la plainte est infondée.
Pour pouvoir caractériser les faits, il faudrait que l'outil d'écoute du réseau mémorise les données, tel le client P2P lui-même, jusqu'à ce que cette quantité suffisante existe et que, par des outils quelconques, il soit possible d'en reconstituer suffisamment pour constater l'illicité du contenu du fichier (divx, mp3, ...)
Neutralité
Il faut savoir qu'un opérateur de télécom a une obligation de neutralité. Cela signifie qu'il ne peut pas focaliser sur un flux particulier pour constituer des preuves (sans procédure de justice associée), mais ne peut que réagir à un flux suspect qui est ressorti comme tel lors d'une analyse générale d'un lien réseau ou de traces par exemple.
Signalement
Une fois que l'Officier de Police Judiciaire chargé de surveiller l'équipement de détection de téléchargement illégal aura constaté les faits, la procédure visant à demander l'arrêt de la pratique pourra être enclenchée. Mais alors, si cette demande n'est pas envoyée en recommandé accusé-réception, celle-ci n'aura aucune valeur juridique, particulièrement en cas de courriel dont la remise est connue pour ne pas être fiable.
Mais alors Hadopi ?
Comme nombre de spécialistes le criaient à corps et à cri, Hadopi est potentiellement criticable d'un point de vue juridique, la jurisprudence le dira. A l'heure où la Communauté Européenne envisage de placer l'accès à Internet comme un droit civique (empêchant ainsi la coupure), on peut souligner que la France se verra probablement soumise à l'application de la loi Européenne, comme c'est la coutume.
De plus, malgré ce qui a pu être lu dans la presse ici et là, une solution technique pour lutter contre le fléau du piratage sera complexe à mettre en oeuvre, et le moyen de lutte devra sans cesse essayer de se mettre au niveau des évolutions techniques des logiciels pirates de téléchargement. Déjà des outils de P2P fonctionnent sur du port 443 en SSL, laissant à penser qu'un flux HTTPS classique est en transit. Même en sniffant, le flux sera indéchiffrable par l'équipement d'écoute et le téléchargement illégal ne pourra donc jamais être caractérisé.
A ce jour et en l'état actuel, toute plainte reçue par un Internaute (rappel: personne physique ou morale) sera une procédure qui pourrait être considérée comme abusive (voir notre commentaire ci-dessous sur la jurisprudence) pouvant déboucher sur une plainte auprès des pouvoirs compétents. Si ces plaintes débouchent sur une procédure en justice, nul doute qu'au final toutes les plaintes émises par la méthode Hadopi (pour l'appeler ainsi, car par Hadopi on entend ici les moyens techniques mis en oeuvre pour l'appliquer) seront nulles et non advenues.
En attendant, quid des méthodes actuellement utilisées ?
Attirer en étant un serveur de données illégales
L'ancienne méthode consiste à mettre sur le réseau un serveur partageant une donnée illégale et détecter tous ceux qui viendrait la prendre. Mais à ce niveau, nul ne peut se prévaloir de sa propre turpitude. En d'autres termes, le procédé est illégal.
De plus, par la magie des 'fakes' (fichier nommé comme ce qu'on pense télécharger mais qui contient en réalité autre chose, le plus souvent un film pornographique), le seul moyen de caractériser la preuve ici consistera à aller chez le téléchargeur et constater que la donnée est bien celle récupérée. Mais le fait de demander une enquête reposant sur une simple supposition peut être également considéré comme une procédure abusive, la certitude du fait étant indispensable.
Une autre approche efficace contre le piratage : constater un partage illicite.
Une autre approche plus intéressante consistera à se connecter sur un partageur (souvent le client P2P partage également ce qu'il a déjà pris, c'est la base du succès de ce principe), lister le contenu des fichiers à télécharger, puis prendre celui qu'on veut et, une fois qu'assez de données sont arrivées, reconstituer toute ou partie du fichier pour pouvoir enfin caractériser la preuve du délit, à savoir un contenu illégal. Une fois fait, plainte pourra être déposée afin qu'une perquisition soit effectuée et que constat soit fait de la présence d'autres données illégales.
A ce jour, avec cette méthode, (NDA au 15/05/2009 une autre hypothèse pourrait également être envisagée ultérieurement), la Loi n'est à aucun moment transgréssée par le plaignant. L'internaute pourrait, en toute bonne foi, arguer qu'il pensait télécharger un contenu licite mais, qu'à cause des 'fakes', le nom du fichier a débouché sur un contenu illégal qu'il ne pouvait pas arrêter de télécharger avant que celui-ci soit complètement arrivé.
Mais si la perquisition révèle une bibliothèque de MP3 sans les documents originaux, ça ne résistera pas comme argumentation.
mise au point : Je tiens à préciser que cet article est le résultat d'une analyse factuelle qui ne comporte pas d'opinion personnelle. Dans cet article je ne donne pas d'avis positif ni négatif sur le fond de la loi Hadopi. Les informations factuelles qui ont servi à l'élaboration de cet article ont été élaborées en collaboration avec des experts juridiques. Une version antérieure de cet article a été reprise par d'autres sites avec des interprétations ou des commentaires ne reflétant pas mon opinion exprimée dans ce post. J'ai donc pris la décision de le publier à nouveau en changeant quelques termes dont l'imprécision pouvait prêter à confusion, sans pour autant changer le sens de mon texte. Afin de vous permettre de visualiser les passages que j'ai modifiés, ces derniers ont été mis en gras.
Partager cette note :
La "chasse" au pirate ne va pas tout à fait se passer comme cela.
La méthode est à généraliser quelque soit le protocole P2P.
Ceci est réalisé par une société privée
1/Repèrage suivant une liste de mot clé donné (environ 5000, puis 10 000)
2/Téléchargement dudit fichier par la société privée
3/Vérification de l'illégalité ou non dudit fichier
4/Si illégal, se met en client et/ou serveur, et repère toutes les adresses ip (seules les françaises les intéresseront). Et Hop le tour est joué, une partie du fichier suffit alors
Remarque : je décrivais déjà cette procédure il y a quelques temps
Bonjour Philippe,
1) Repérage d'un mot-clé où ? Dans un flux ? Sur un serveur P2P ?
S'il s'agit de données binaires ou de toute ou partie d'archive, alors le mot-clé ne vaut pas grand chose.
S'il s'agit d'un nom associé à un fichier par un serveur dans la toile P2P, ça ne vaudra pas grand chose non plus, vu le nombre de fakes rencontrés.
2) dudit fichier. Nous parlons dans plusieurs cas (torrent, edonkey) d'un numéro hexadécimal qui n'a pas de nom, et par conséquent qui ne peut être considéré comme valide par un mot-clé. Je peux partager ma oeuvre musicale et appeler ça le dernier tube des Rolling Stones... Ca restera mon caca perso :-)
3) Donc nous avons un fichier, présumé le bon, plus ou moins téléchargé et validé comme contenu illégal par les yeux d'une personne digne de foi. Peut-être société privée, mais la collecte de la preuve doit rester sous le contrôle d'une entité reconnue comme compétente, à savoir assermentée au minimum, sinon ça ne vaudra rien. J'ai cru comprendre qu'on parlait directement d'Officier de Police Judiciaire...
4) Comment caractériser l'illégalité ? Le propriétaire de la donnée en question doit confirmer. Il faut donc savoir de qui il s'agit et avoir un interface avec lui pour lui poser la question.
Si "illégal se met en client/serveur", et donc partage un contenu illégal (qui plus est en toute connaissance de cause), il y aura vice de forme dans la procédure qui deviendra donc nulle et non advenue en tant que procédure abusive.
Ou alors j'ai raté quelque chose?
Cdlt
1/Repèrage par mot clé, simplement une recherche d'une oeuvre comportant certains mots clés par exemple Johnny Halliday. A ce niveau. Juste recherche.
2/Télechargement du fichier pour voir si c'est ou non un fake.(ceci est fondamental) s'il s'avère qu'il s'agit comme dans l'exemple du dernier album de Johnny, alors on repère le hash du fichier qui peut s'appeler n'importe comment mais sera toujours le dernier album de Johnny (même s'il s'appelle fais moi tout point com, le miracle du hash)
3/le fait d'être sur des listes d'attente ou être fournisseur de ce fichier même un bout suffit, et hop. Dura lex sed lex. Ceux qui feront cela seront assermentés et donc membre de la haute autorité d'où la loi création et Internet
4/Les mots clé sont fournis par les ayant droits à la haute autorité, donc si l'on veut une plainte pour voir...
Ceci se tient, si l'on excepte l'ip spoofing, mais cela sera dur à prouver devant une cour (un seul cas jusqu'à présent). Etant donné que tout le monde est responsable de son accès, même et surtout les chefs d'entreprise...
A part si l'on peut prouver l'ip spoofing, il n'y a pas de trop de faille de ce coté là. par contre, le fameux logiciel de contrôle alors là on s'amuse
1+2) nous sommes d'accord.
3) Le fait d'etre sur les listes d'attente ne saurait suffire pour motif de multiples noms possibles, avec la possibilites qu'ils soient tous lies a un bien legal sauf un (pas toujours visible qui plus est). A priori, un avocat pas trop nul pourrait prouver ca et casser ainsi la chose (si bien sur on n'a pas trouve 1 kilotonnes de MP3 chez le prevenu :-)
Meme avoir le bout pourrait etre discutable a cause du point precedent.
4) Oui, mais ils ne valent rien à cause des innombrables alias...Seul le hash vaut quelque chose.
L'@IP spoofing : pas de risques car en TCP, ca n'est pas chose aidee. En UDP c'est plus facile, mais loin d'etre a la portee de tout le monde...
Sur le dernier point, je ne suis pas d'accord.
La Loi considere comme responsable une personne competente. Si tu es infirmière et qu'on dit que tu pirates alors que tu ne comprends pas, bien sur la coupure sera faite, mais une plainte par la personne coupee pourra faire tres mal, au motif qu'elle ne sait pas de quoi elle parle et est par consequent irresponsable (genre mon WiFi est pirate). Le hic, c'est qu'une personne competente en bases de données par exemple, sera consideree comme competente en informatique et donc en reseaux, securite, ...
Au niveau entreprise, sauf erreur, La Loi oblige le responsable (a partir d'une certaine taille) a prouver qu'il a pris en compte les problemes de securite.
En gros, il a nomme une personne (pas forcement competente) pour gerer le probleme global, et ca decharge l'entreprise de sa responsabilite.
Concernant le logiciel de controle, je n'ai meme pas releve tant la pratique est totalement illegale et releve d'une violation de la vie privee...
De plus, je pouffe d'avance en imaginant le dit soft enferme dans une machine virtuelle irreprochable.
Petite remarque, il faudrait trouver un autre exemple que Jooooooooooooohnny. En effet l'amendement n° 221 prévoit de ne protéger que les ayants droits résidant en France !
Cocorico ! /o>
Comme si on allait faire un système "échelon" super sophistiqué pour aider les ricains :x
Quelques idées ici:
http://blogs.orange-business.com/securite/2009/01/gestion-des-droits-numeriques-que-nous-reserve-lannee-2009.html
et là:
http://www.advestigo.com/
"seules les françaises les intéresseront" : c'est là que le bât blesse.
En ressortant à l'étranger et dans un pays qui ne risque pas de suivre la voie de la France, le tour est joué. La démarche nécessite un abonnement complémentaire : encore de l'argent qui n'ira pas à la création !
Ensuite, même en créant un pot de miel et en relevant toutes les adresses françaises qui viennent s'y coller quelle preuve constitue le fait d'avoir vu apparaître quelques secondes telle ou telle adresse (qui n'ont pu dès lors récupérer que quelques ko à l'occasion) ?
Cela vaut-il vraiment la peine de lancer une procédure d'interpellation pour quelques ko ?
Tout ça pour ne rien trouver lors d'une perquisition parce que tout est chiffré ?
Ensuite il y a tous les protocoles de transfert point à point : scp, sftp, https, ftps, nttp, nttps notamment. Dans nombre de ces cas, l'abonnement est payant (Giganews à $12 par mois par exemple, encore 9 EUR qui n'iront pas à la création). Dans ce cas, à moins de taper à la porte du fournisseur quand c'est possible (en Allemagne c'est possible) impossible de retrouver les clients.
Et je ne parle pas des réseaux privés (assemblée de plusieurs centaines d'internautes qui se cooptent et panachent les protocoles : aucun risque qu'un chasseur ne s'introduise dans le groupe).
db
Eh non, pour Hadopi toute personne a eu un doctorat d'informatique et est responsable de son accès, même les chefs d'entreprise...
citation « La personne titulaire de l'accès à des services de communication au public en ligne a l'obligation de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d'œuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin ». C'est assez clair. Pas de décharge sur ce point, ni de question de taille d'entreprise.
Pour Hadopi seul le hash du fichier va prouver l'infraction. un point c'est tout
Tu as raison sur un point, il va y avoir pas mal de jurisprudences. Mais peut être pas sur les points "techniques"
Et même Johnny sera "protégé", Florent
En effet, mais, sauf erreur de ma part, l'obligation est de demontrer que les mesures ont ete prises.
Celles-ci peuvent etre simplement de nommer un responsable qui veillera a mettre en place des moyens selon ses competences.
Cette seule action dedouane le responsable...
Bon alors, puisqu'on parle technique, parlons technique ...
Pour que le système fonctionne, il faudrait :
- Que les ayants-droits fournissent la liste des titres qu'ils veulent surveiller.
- Que le logiciel d'Hadopi fasse une recherche textuelle sur ces titres et télécharge l'intégralité des différents fichiers correspondant à ces noms
- Qu'il fasse ensuite une vérification pour voir si ces fichiers sont bien des fichiers correspondants aux titres (éviter les fakes) et ne s'intéresse qu'aux hashs des fichiers valides.
- Qu'il tente le téléchargement de ces hashs sur le réseau
- Qu'il considère responsable, l'IP de ceux chez qui il aura réussi à télécharger quelques octets (pour prouver la mise à disposition)
Méthode assez complexe mais faisable.
Concernant la possibilité d'IP Spoofing, elle n'est pas évidente. Mais il y a tellement d'autres moyens !
- Pirater le WiFi de son voisin : WEP et WPA ne sont pas sûrs. WPA2 résiste encore un peu, mais tous les matériels ne sont pas compatibles (Nintendo DS, carte wifi en 802.11B sur les PDA ou les vieux Psions...). Que mettre en place ? Un filtrage Mac ? Un serveur Radius ? Tout ça n'est plus à la portée du commun des mortels.
- Utiliser du P2P chiffré et anonyme, iMule par exemple ...
- Utiliser des troyens ? Vous croyez que les plus vils vont se priver de tenter de vous infecter pour se servir de vos PC comme relais ?
- Utiliser les services de sociétés peu regardantes ou carrément sans scrupules ? Usenet, VPN chiffrés (IPredator par exemple), services premium Rapidshare ou MegaUpload ...
- Se monter son réseau de confiance : F2F (OpenSwarm...), échange de FTP persos, Gigatribe...
- Revenir aux anciennes méthodes : échanges de clefs USB ou de disques durs, DCC sur IRC, envois par messagerie instantannée (MSN et autre)...
Bref tant de façons de faire qui ne sont pas surveillables et qui rendent cette loi obsolète et dangeureuse pour beaucoup. Je pense que nous allons assister à une explosion du nombre de piratages de lignes WiFi et de tentatives d'infection de PC... avec bien sûr les sanctions Hadopi qui vont avec...
Petite question
L'internaute peut être poursuivi pour non sécurisation de sa ligne. Dans le cas d'une Livebox louée que se passe t'il?
Est ce que le loueur, en l'occurence Orange doit mettre à la disposition (location) de ses client un matériel suffisament sécurisé pour éviter tout piratage?
Je pense que la situation entre le fournisseur et le client risque d'être ambigue sur ce point.