HADOPI : le ministère de la culture explique comment sécuriser

Wep... 282
Marc Rees
François Loos (UMP) avait questionné le ministère de la Culture sur une problématique bien connue de l’Hadopi : la fameuse « négligence caractérisée de sécurisation de l'accès Internet », qui permettra au juge, après transmission du dossier par l’Hadopi, de décider d’une éventuelle coupure d’accès.

hadopi collège haute autorité commission droits

Le député : « à ce jour, les installateurs de réseaux informatiques sont bien en peine de conseiller leurs clients, ne sachant pas quels sont les éléments constitutifs de cette infraction. Pour l'instant, et tant que les décrets d'application ne seront pas publiés, les pratiques antérieures peuvent encore avoir cours. Mais dès la publication de ces décrets, un certain nombre d'installations ne seront plus conformes à la loi, alors que très récentes. Dans ces conditions, non seulement l'installateur ne peut pas remplir son obligation légale de conseil dans la vente, mais, en plus, le client va payer de grosses sommes pour une installation obsolète d'un moment à l'autre. Il lui demande s'il ne pense pas qu'il serait souhaitable de clarifier au plus vite cette situation, qui embarrasse tout le monde. »

Nous le disions : la finesse d’Hadopi est de renverser la charge des ennuis : ce n’est plus à l’ayant droit de s’embourber dans de longues procédures, couteuses, hasardeuses, exigeants une perquisition, c’est à l’abonné de démontrer qu’il a sécurisé son accès. Quand ? Quand sur les cadrans des surveillants des ayants droit de la musique et du cinéma (la société TMG, où on retrouve l’acteur Thierry Lhermitte), une adresse IP clignote en rouge. Là, le long listing (jusqu’à 50 000 par jour) est transmis à la Haute autorité, qui pourra initier – ou non – la riposte graduée (mail, lettre, puis coupure éventuelle d’un mois maximum décidée par un juge dans le cadre d’une peine complémentaire à une contravention de 5e classe).

Les questions de François Loos sont légitimes, quoi que très tardives : ce même Loos avait voté  pour Hadopi 1 et pour Hadopi 2. Mais bref.

La réponse du ministère de la Culture a été publiée au Journal officiel.

Que dit en substance la Rue de Valois ? D’un, « les éléments constitutifs de cette contravention » de négligence caractérisée « seront définis par un décret qui est en cours d'examen au Conseil d'État ». La réponse aurait pu s’arrêter là, mais on risquait alors une intervention bien futile du ministre.

Mais non, le ministère a retrouvé sa langue perdue durant ces longs mois de débats Hadopi : « Le gouvernement peut d'ores et déjà préciser que la négligence caractérisée (…) consistera à ne pas, sans motif légitime (notamment financier ou technique), sécuriser son accès Internet en dépit d'une recommandation valant mise en demeure adressée en ce sens par la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet (HADOPI). »

Première surprise : le « motif légitime » pourra être « financier ». Le juge doit en effet tenir compte de chaque situation personnelle avant de trancher. Compte tenu de la volumétrie attendue par ce projet, cela risque de rendre le parcours tortueux. Le motif légitime financier est une porte de sortie pour les foyers modestes, qui devront cependant avoir les reins assez solides pour se défendre juridiquement. Plus sûrement, cela permettra aussi aux grosses entreprises qui posséderaient trop de postes à sécuriser de temporiser les ardeurs de la Hadopi et, en amont, des surveillants privés.

carte accès wifi paris

Sur les détails techniques, le ministère précise que « deux catégories de solutions de sécurisation de l'accès à Internet des particuliers et des très petites entreprises sont d'ores et déjà disponibles à titre gratuit ou à titre onéreux ».

1) « des solutions de sécurisation du poste informatique permettent de gérer l'utilisation de l'accès à l'intérieur d'un foyer (solutions de type « contrôle parental ») ou de prémunir cet accès contre des tiers extérieurs (solutions de type pare-feu ou antivirus). »

2) « des solutions de sécurisation du boîtier de connexion permettent de prémunir l'abonné contre l'intrusion d'un tiers. Les boîtiers de connexion qui permettent de relier le poste de l'utilisateur à Internet, par fil ou sans fil (Wi-Fi), peuvent être sécurisés au moyen de clés et de protocoles cryptographiques (clés WEP et WPA). Ces clés sont l'équivalent d'un mot de passe dans un système de contrôle d'accès. Cette sécurisation peut être complétée par une restriction d'accès aux seuls périphériques préalablement déclarés par l'utilisateur (filtrage MAC) »

Ainsi :

Négligence caractérisée pour les foyers et les PME = contrôle parental ou pare-feu ou antivirus (sur les PC) et, clé WEP ou WPA éventuellement complétées par un filtrage MAC (sur les box).

En respectant cette suite de moyens techniquement suffisants pour le ministère, l’abonné bon père de famille devrait pouvoir sauver son cas si Trident Media Guard alpague son IP sur les réseaux P2P. On pourra lire les commentaires de lecteurs sur la solidité de cette ligne Maginot.

Comment prouver la sécurisation à l'instant T (MG) ?

Seul détail d’importance : faute de monitoring de la surveillance de chaque PC en France sur les écrans d’un gros gros ordinateur, le ministre ne dit pas comment Mme Michu pourra démontrer la non-négligence caractérisée à l’instant T du flashage par TMG. Pire : on ne sait même pas comment elle pourra démontrer simplement l’installation ou l’usage dans le temps de ces solutions (facture ? Qui des logiciels gratuits ? copie d’écran ? Une photo de la box ? le témoignage du voisin ou du fiston ?)

La commission libérée des verrous

De la même manière, la Hadopi et la commission des droits nous l’expliquaient lors de la conférence de presse rue de Texel que le moyen de sécurisation dans la loi n’est pas lié à l’infraction. En clair : « La commission pourra transmettre un dossier au parquet, lorsqu’elle estimera que les éléments de l’infraction sont constitués et que ce qu’a dit le titulaire de l’abonnement ne lui a pas paru pertinent pour dire que l’infraction n’était pas constituée ». Un dossier qui reviendra un peu trop souvent sur les écrans de TMG pourra être malgré tout sanctionné quand bien même l’abonné affirmerait (il n’a pas d’autre moyen de preuve) avoir suivi scrupuleusement ces préconisations.