Hadopi 2 : comment contacter l'abonné ? L'exemple de la Culture

Froid derrière, chaud devant 96
Mise à jour 22 juillet   : Les députés discutent actuellement sur la façon dont l'abonné sera alerté par email d'un problème de sécurisation de son IP. Problème : une adresse email est quelque chose de flou, il y a des adresses emails principales, officielles, non officielles etc. Des abonnés ont par ailleurs plusieurs adresses et il est difficile de s'assurer que Mme. Michu aura bien ce courriel d'avertissement.

Le ministère le sait bien, par la pratique. Ainsi dans cette consultation lié à un appel d'offres sur la sécurisation du Haut débit de la Rue de Valois, celle-ci a donné une information intéressante : le nombre d'email hébergés sur ses serveurs Cette info a été publiée sur la PMI, la place des marchés interministériels, très tôt ce matin. Résultat des courses, en image :

email ministère culture

Le ministère a donc 7000 boites email. Question : comment l'Hadopi alertera Mitterrand si celui ci recommence à vouloir des oeuvres de La Callas non rééditées ?

Première diffusion 22 juillet 2009 titre initial Internet et Hadopi: le ministère de la Culture assure ses arrières

Selon nos informations, le Ministère de la Culture et de la Communication vient d’organiser un appel d’offres public. L’objet ? la « Fourniture, supervision, maintenance d'un accès Internet haut débit pour le centre national informatique du ministère de la Culture et de la Communication ainsi que de services associés ». Pour les candidats intéressés, la date limite de remise des dossiers est fixée au 10 août 2009.

casque piratage

Le plus intéressant dans cet appel d’offres concerne la partie sécurité. Un chapitre classique en cette matière vise les « Intrusions, utilisations anormales ou frauduleuses ».

Ainsi, si le titulaire du marché constatait de pareilles malversations, des manœuvres de piratage ou des utilisations anormales ou frauduleuses, il s’engagera à :
  • Informer l’administration sous un délai de 2 heures maximal après avoir eu connaissance des faits ;
  • nommer un responsable de l’identification complète de la manœuvre et de la correction du problème
  • organiser une réunion sous 48 heures à laquelle participeront ses experts « sécurité » ainsi que tout membre choisi par l’administration,
  • fournir tous éléments d’information en sa possession, sur cette intrusion ou tentative d’intrusion
  • fournir toutes informations sur les mesures qu’il a prises ou qu’il compte prendre pour :
    • identifier les auteurs des manœuvres,
    • limiter les effets des manœuvres et en empêcher le renouvellement.
  • Proposer éventuellement un plan d’action concerté entre le titulaire et l’administration.
  • Coopérer si nécessaire avec les organismes gouvernementaux en charge de la sécurité
  • Le titulaire s’engage à mettre en ouvre tous ses moyens pour collaborer avec les autorités, pour faire cesser ces troubles, en identifier les auteurs, et faire procéder à toutes poursuites civiles et pénales adéquates en la circonstance
Filtrage antispoofing

Il devra aussi mettre en place un filtrage antispoofing, un filtrage des adresses définies dans le RFC1918, un filtrage d'adresses sources de broadcast et multicast, et une conformité aux recommandations du RFC2827, en plus d’être couvert par un contrat d’assurance les conséquences pécuniaires de la responsabilité civile qu’il pourrait encourir en cas de dommages de toute nature, matériels, immatériels et directs causés à l’occasion de l’exécution des prestations. Bref.

Ainsi, le ministère fait preuve de réalisme : il sait que l’informatique, c’est quelque chose de sensible et que sécuriser un accès n’est pas très simple puisque de multiples tentatives de piratage existent.

Quid de Mme Michu ?

La Rue de Valois a cependant pris les mesures pour faire peser le maximum de responsabilité et de soutien technique sur les épaules de son prestataire. Une chance sur laquelle l’abonnée Mme Michu ne pourra pas compter : dans la loi Hadopi 1 comme dans le futur projet de loi pénal antipiratage (Hadopi 2) examiné cet été, ou le futur décret qui responsabilisera l’abonné sur les actes malveillants commis sur sa ligne, il sera impossible techniquement pour l’internaute de se déresponsabiliser sur un tiers. Sauf bien sûr si Mme Michu a pris soin de passer l’équivalent d’un tel marché public pour son accès internet... De son côté, le ministère ne pourra pas être inquiété par sa propre loi puisque son marché impose à son prestataire l’obligation (de moyen) d’identifier les auteurs du piratage.

En conclusion, quand il s'agit d'un marché public, le ministère sait que l'adresse IP, ça se pirate, mais quand il s'agit d'une loi, ce détail est oublié.