Hadopi : Frédéric Mitterrand questionné sur le filtrage par DPI

Relisons les réponses de l'Hadopi et nos commentaires 49
Plus d'un an après le vote d’Hadopi, les députés commencent à s’interroger aux modalités pratiques et le risque du filtrage. Les services d’information du Parlement nous indique ainsi que la députée Laure de La Raudière a interrogé Frédéric Mitterrand « pour savoir s'il est prévu que la HADOPI teste des technologies de type Deep Packet Instruction (comprendre Inspection, NDLR), dans le respect des dispositions législatives que le Parlement a voté, et quel encadrement particulier à ces tests pourront être donné »

hadopi ministère ministre albanel mitterrand

La députée rappelle justement que « les technologies de type Deep Packet Instruction utilisées dans la gestion de trafic sur les réseaux de télécommunications ont aussi la puissance d'analyser le contenu détaillé de l'ensemble des flux de communications, portant ainsi directement atteinte à la protection des données personnelles des internautes. »

Du coup, elle veut savoir « si de telles technologies seront testées, et si oui, quelles sont les entités qui mèneront ces tests, comment procèderont-elles, quelle sera la durée des tests, quelles seront précisément les données collectées, quelle consultation et contrôle de la CNIL pourront être effectués ».

La réponse n'est pas encore rédigée. Cependant, on peut parier que la lettre explicative de la Hadopi sur ces questions devrait ressurgir sur le bureau du ministre. Cette lettre, en gras ci dessous, avait été publiée sur le regretté blog de Bluetouff. Nous avions alors postés notre grille de lecture que nous republions intégralement.

hadopi bluetouff

Actualité initiale : "Filtrage par DPI: les réponses de l'Hadopi et celles de PC INpact"


1. De très nombreux fantasmes circulent sur d’hypothétiques tests par l’Hadopi des technologies de deep packet inspection (DPI) dans le cadre de la mission confiée à la Haute Autorité par le législateur. Ils nourrissent une inquiétude certaine auprès d’internautes. Une clarification s’impose. Les questions posées dans ce billet la permettent.

Ces « fantasmes » sur le DPI n’ont pas été inventés, mais reposent sur des affirmations, des discours et des explications donnés par des pierres angulaires de la Hadopi.

C’est d’abord Jean Berbinau, membre de l’Hadopi, qui citait les pratiques de filtrage par DPI menée en Australie.

C’est encore Jean Berbinau qui lors d’une conférence à Montréal en avril 2008 s’exprimait ainsi : «Pourquoi peut-on filtrer ? Parce qu’il y a longtemps que la vitesse des réseaux n’a pas progressé, ce qui favorise ceux qui cherchent à faire du filtrage, notamment grâce au procédé de Deep Packet Inspection – qui consiste à observer les paquets d’informations sur la bande passante et permet de savoir à peu près tout ce que l’on veut savoir : Qui a envoyé le paquet? Qui l’a reçu? Quelle est l’application correspondant aux contenus du paquet? Et qu’est-ce qu’il y a dedans? »

C’est Michel Riguidel, professeur télécom à qui la Hadopi a confié une mission sur le filtrage et les spécifications fonctionnelles, qui vantait les charmes du filtrage devant l’ARCEP.

C’est Nicolas Sarkozy qui dans son discours devant le monde de la Culture en janvier 2010 a expliqué « je vous le dis, si ça ne suffit pas, je suis prêt à aller plus loin. Et indépendamment des avertissements, la Haute autorité devra concevoir en permanence les solutions les plus modernes pour protéger les œuvres. Mieux on pourra dépolluer automatiquement les réseaux et les serveurs de toutes les sources de piratage, moins il sera nécessaire de recourir à des mesures pesant sur les internautes. Il faut donc expérimenter sans délai les dispositifs de filtrage. »

C’est Christine Albanel qui durant les débats parlementaires sur Hadopi expliquait (séance du 4 mai 2009) « Il n’y a aucune espèce de surveillance générale de la toile ; il s’agit simplement d’expérimentations menées par des acteurs de la culture, d’une part, et des acteurs d’Internet, d’autre part, pour la reconnaissance des contenus. Nous entendons agir à la source en créant une sorte de tatouage des œuvres destiné à empêcher les actes de piratage. Il n’y a là rien de choquant. » Un peu plus tard, le même jour, elle décrira la possibilité « d’installer des dispositifs de reconnaissance des œuvres interdisant de les pirater. Ce n’est pas l’HADOPI qui surveille, ni l’État : il s’agit, je le répète, d’expérimentations conduites par les acteurs culturels et Internet ».

C’est le projet de spécification fonctionnelle rédigé par Michel Riguidel au sein de l’ Hadopi qui prévoit que, dans les futurs verrous labellisés par Hadopi, « le module d’analyse dynamique de flux est le module de capture, d’observation, de détection, d’analyse du trafic et de décision par l’utilisateur de la suite à donner à son action, suite à une notification de l’application. Le but de ce module est d’inspecter dynamiquement le contenu entrant et sortant du trafic sur les interfaces du réseau de la machine de l’utilisateur. Ce module réalise en temps réel une analyse contextuelle et syntaxique des flux du contenu (sans analyser le contenu sémantique des fichiers, dans la mesure où ne sont pas analysés à ce jour les attributs de DRM ou les empreintes des contenus des fichiers légaux) ». Evidemment, on est prié de croire qu'inspection dynamique du contenu entrant et sortant n'est pas du DPI.

C’est encore Michel Riguidel qui explique dans le document (p.9), que « pour le moment le parc des boitiers ADSL est très hétérogène, et les boitiers sont dimensionnés de telle manière qu'il est difficile de loger des applications supplémentaires dans ces boitiers. Pourtant, on peut réfléchir à ces solutions pour les futures générations de boitiers, dans le cadre du renouvellement général du parc »

C’est Eric Walter qui dans une interview (notre analyse) explique que « je ne crois pas à l’accélération des technologies de filtrage qui seraient dangereuses pour les libertés individuelles » ou « nous pratiquons le dialogue et l’ouverture. Ce n’est pas pour nous asseoir les arguments avancés dans ce cadre. Donc ce filtrage généralisé du net tel qu’il est présenté non, mais l’analyse sous toutes ses composantes lorsque l’on parle de circulation d’oeuvres, oui. Encore faudra-t-il préciser si l’on parle de filtrage protocolaire, de filtrage de contenus, etc. »

C’est la puissante SCPP (producteur phonographique) qui a mené des expériences de filtrage par DPI en Allemagne et qui compte les présenter à l’Hadopi sous l’habit du moyen de sécurisation labellisé. Nous y reviendrons plus bas.

Il est donc un peu délicat de parler de « fantasmes »… mais continuons la lecture.

2. L’affirmation selon laquelle « Hadopi prévoit dans son dispositif des tests sur les technologies de deep packet inspection » est fausse. Il n’entre pas dans la mission légale de l’Hadopi d’effectuer de tels tests qui sont, donc, totalement exclus.

C’est vrai. Le mot DPI n’apparaît évidemment pas dans les textes de loi. Et La Hadopi ne teste pas le filtrage. Non… elle l’évalue. Autant remettre le nez dans sa bible, à savoir le Code de la propriété intellectuelle : La Hadopi « évalue, en outre, les expérimentations conduites dans le domaine des technologies de reconnaissance des contenus et de filtrage par les concepteurs de ces technologies, les titulaires de droits sur les œuvres et objets protégés et les personnes dont l'activité est d'offrir un service de communication au public en ligne. Elle rend compte des principales évolutions constatées en la matière, notamment pour ce qui regarde l'efficacité de telles technologies, dans son rapport annuel (…). Elle identifie et étudie les modalités techniques permettant l'usage illicite des œuvres et des objets protégés par un droit d'auteur ou par un droit voisin sur les réseaux de communications électroniques. Dans le cadre du rapport (…), elle propose, le cas échéant, des solutions visant à y remédier. »

On joue ainsi sur les mots alors que c’est de l’avenir des réseaux dont il est question.

Des tests de filtrage menés par les ayants droit ont déjà été effectués en Allemagne, loin des rigueurs de la CNIL et du code des postes et télécommunications. Et Hadopi n’aura pour fonction que de délivrer un label pour certifier que ces moyens de sécurisation conçus par les éditeurs répondent aux spécifications fonctionnelles définies par Michel Riguidel, ce chercheur pro DPI, donc. Nous y reviendrons un peu plus bas.

3. La loi confie à la Haute Autorité la mission d’évaluer « les expérimentations conduites dans le domaine des technologies de reconnaissance des contenus et de filtrage par les concepteurs de ces technologies, les titulaires de droits sur les œuvres et objets protégés et les personnes dont l’activité est d’offrir un service de communication au public en ligne ».

C'est vrai. Mais le côté pernicieux du dispositif Hadopi est que d’un côté, il est prévu des expérimentations de reconnaissance des contenus et de filtrage, de l’autre des moyens de sécurisation labellisés. D'ailleurs on notera que la mission confiée au Pr. Riguidel porte sur ces deux sujets, en même temps.  

De plus, rien dans les textes n’interdit de cacher un système de DPI dans le moyen de sécurisation. La loi n'interdit pas de fournir un moyen de sécurisation s’appuyant sur le filtrage avant la fin des tests. Pourquoi ? Car il n'y a pas de couplage entre l'un et l'autre. 

Marc Guez
de la SCPP, nous a expliqué sans détour que le monde des ayants droit « va favoriser l’adoption volontaire de ce système [de filtrage par DPI], par les FAI à la demande de leurs clients. (…) C’est le meilleur moyen de valider le dispositif. Cela permet de le tester, l’améliorer, voir les problèmes. » Toute la stratégie à venir sera donc d’inciter, persuader l’abonné de mettre volontairement en place un moyen de sécurisation labellisé, recelant un filtrage en son sein, pour lui faire comprendre qu'il est protégé, qu'il est en sécurité. Alors qu’il sera avant tout... surveillé.

4. Si de telles expérimentations étaient conduites par l’une ou l’autre des personnes mentionnées ci-dessus, elles devraient donc naturellement être portées à la connaissance de la Haute Autorité au plus tôt pour que celle-ci soit à en mesure de remplir de façon éclairée la mission que lui a confié le législateur, et ce d’autant que ces évaluations doivent être présentées au législateur et au public dans le rapport d’activité de la Haute Autorité.

« Au plus tôt » ? La loi Hadopi 1 ou 2 ne prévoit aucun délai entre les expérimentations et leur présentation à l’autorité. Il n’y a d’ailleurs aucune sanction particulière en cas de défaut ou retard dans cette présentation. Et, répétons-le, tout le charme de la méthode poursuivie par les ayants droit sera de favoriser l’adoption volontaire du filtrage, sans caractère impératif, obligatoire.

Tout Hadopi fonctionnera sur la persuasion. On sait que, charme du dispositif, l’abonné qui a installé un moyen de sécurisation labellisé ne pourra pas échapper à coup sûr à la réponse graduée (il y a un découplage entre sanction et moyen de sécurisation). Toutefois, Mireille Imbert Quaretta, présidente de la Commission de protection des droits, a expliqué à l'Assemblée nationale que « lorsque l’internaute aura installé un système labellisé, son cas sera examiné avec une attention bienveillante ». Il y aura donc une hiérarchisation des moyens de sécurisation, avec en haut, le moyen labellisé que Mme Michu et les autres devront adopter au plus vite. 

5. A ce jour, aucune expérimentation n’a été portée à sa connaissance. Si des résultats venaient à lui être présentés sans qu’elle n’ait eu la possibilité de connaître le lancement de telles expérimentations et d’en suivre le déroulement en toute transparence et dans la forme et avec les partenaires qu’elle déciderait, la Haute Autorité émettrait naturellement de fortes réserves sur la méthode même de l’expérimentation conduite et les résultats présentés.

En France, peut être pas. Mais en Allemagne, oui. Ces résultats issus des technologies Vedicis ont même été présentés à Bruxelles. Le reste de l’explication de l'Hadopi n’est qu’une déclaration d’intention.

6. Bien que le protocole d’évaluation ne soit pas encore déterminé, la Haute Autorité rappelle qu’elle a d’emblée indiqué que celle-ci se conduirait dans le cadre du « Lab » réseaux et techniques qu’elle s’apprête à ouvrir, que la totalité du travail des « Labs » serait conduite dans la plus totale transparence, et que tous les documents portés sur la table des « Labs » serait publiquement accessibles à tous. Il s’agit là d’un engagement ferme et largement rendu public.

Les "Labs" n’ont aucune existence juridique. Ce ne sont que des cellules de discussions dans laquelle la Hadopi tente ou a tenté d’inviter certains acteurs du net, notamment ceux peu connus pour leur adoration des rouages de cette haute autorité. Les responsables des Labs sont en outre rémunérés (budget des labs : 1 million d'euro chaque année). Lorsqu'on perfuse ainsi la critique, autant dire que des caillots peuvent apparaître dans les veines.

Pour preuve du peu d'intérêt des Labs, nous avons révélé l'existence d'un projet de décret sur la labellisation des moyens de sécurisation que la France a notifié à Bruxelles en août, confidentiellement. Seul hic, le simple remplacement d’une variable dans l’URL nous a permis d'apprécier ce contenu et, surprise, jamais le mot « Labs » n’est prononcé dans ces lignes pourtant rédigées par le ministère de la Culture.

Que décrit ce projet de décret ? Le système présenté dans ce projet est simple (notre analyse) : les éditeurs de solutions de sécurisation feront examiner leur verrou logiciel auprès d'un centre agréé par l'ANSSI, qui délivrera son accord sous forme de rapport. Ce rapport « est un document confidentiel dont les informations sont couvertes par le secret industriel et commercial » prévient le décret. Il n’aura donc aucune information publique.  Le « rapport d’évaluation établit [que le verrou] est efficace et conforme aux spécifications fonctionnelles rendues publiques par la Haute Autorité », spécifications définies par Michel Riguidel, vous savez…le pro du DPI.

Bref, avec ce rapport délivré par le centre agréé, les éditeurs présenteront leur outil à l’Hadopi qui se contentera d’apposer un label de confiance si tous les feux sont au vert. Marge d’appréciation : zéro. Le label sera de droit, non délivré après l’usage d’un pouvoir discrétionnaire, d’un pouvoir d’appréciation.

7. La Haute Autorité réaffirme l’impérative nécessité de protéger sur internet les droits des œuvres et de tous ceux qui contribuent à leur création. Pas plus que l’absence d’offre répondant à la totalité des attentes ne justifie le pillage, la protection des œuvres ne justifie pas l’usage de technologies disproportionnées.

Ce n’est qu’une déclaration de principes. Il est évident qu’il sera disproportionné d’employer l’arme nucléaire pour sanctionner les abonnés incapables de sécuriser leur accès. Par contre, il n’est vraiment pas certain que toutes les technologies de filtrage soient qualifiées comme telles. Tous les textes édictés par le Ministère de la Culture, et demandés par l'Industrie de la Culture, convergent vers ces solutions.

On peut déjà entendre les futures explications de la Rue du Texel : ces solutions ne sont pas disproportionnées puisqu'elles sont prévues par la loi et les décrets.

Publiée le 22/12/2010 à 11:57
Marc Rees

Journaliste, rédacteur en chef

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €

Publicité